II.- PROGRAMA DE COMPLIANCE PENAL: OBJETIVOS.
El CCO, debe de asumir la gestión de un modelo o programa YA implantado en la organización, de modo y forma que NO es responsabilidad de éste su diseño e implantación. Esto es lógico porque la responsabilidad de diseñar e implantar un modelo de prevención en la empresa, la responsabilidad de poner en marcha el compliance program, es una responsabilidad indelegable del órgano de administración, como responsabilidad suya es, también, designar al órgano responsable de su funcionamiento. Ex artículo 31 bis.2, condición 1ª CP, que encomienda al órgano de administración la adopción y ejecución eficaz, antes de la comisión del delito, de un modelo de organización y gestión que incluya las medidas de vigilancia y control idóneas para prevenir delitos.
Conclusión que se refuerza por el texto del mismo art citado, condición 2ª, que no sólo, obliga a que la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado lo confíe el órgano de administración a un órgano de la persona jurídica, sino que, además, permite (como hemos avanzado ya) que en las pequeñas empresas sea éste, el órgano de administración, el que lleve a cabo tales tareas.
Podemos señalar, pues, los siguientes objetivos del modelo de prevención penal:
1.- Para la prevención de los delitos se exige, por un lado, el diseño e implantación del modelo de prevención, el nombramiento del responsable, la supervisión de su funcionamiento y de su cumplimiento, vigilancia y control del personal sometido al modelo (gestión del modelo, y por otro, la información y formación del personal sometido a las normas del modelo y, finalmente, la revisión y actualización del mismo. El diseño e implantación del modelo y la designación del órgano responsable de su funcionamiento son responsabilidad del órgano de gobierno de la organización. Por el contrario, la supervisión del funcionamiento y cumplimiento del modelo, su revisión y actualización, así como la información y formación a directivos, trabajadores y empleados de la empresa acerca de la existencia y contenido del modelo son responsabilidad del encargado de cumplimiento normativo.
2.- La detección de los delitos que el modelo no ha podido evitar es un objetivo que requiere la organización y coordinación del correspondiente canal de denuncia y la recepción de la información sobre comportamientos delictivos o irregulares que se recibe a través del mismo para acabar poniendo en marcha las investigaciones internas necesarias para detectar la infracción y el infractor. El artículo 31 bis, número 5, condición 4ª, obliga a que los modelos de prevención impongan el deber de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Parece claro que es el responsable de cumplimiento normativo el encargado de recibir esas denuncias de directivos, trabajadores o empleados, pero eso no excluye que, además, la puedan recibir otras personas.
3.- Por último, lo que parece obvio que queda fuera de las misiones de cualquier programa de cumplimiento normativo es la reacción disciplinaria frente al responsable de incumplimientos del modelo, por más que el propio modelo pueda establecer las normas del sistema disciplinario. Entra en el tablero juego, pues, el departamento de RRHH.
III.-LAS FUNCIONES DEL RESPONSABLE DE CUMPLIMIENTO NORMATIVO PENAL.
1.- Gestionar el modelo de prevención de la organización: Supervisión y cumplimiento del funcionamiento del modelo implementado. Exige, constatar y verificar, que el mapa de riesgos a partir del cual se ha diseñado todo el modelo es fruto de una adecuada valoración de los mismos, en función de las características del lugar (territorio o territorios) en los que opera la organización, del tipo de negocio en el que está desarrolla su actividad y de las características de empleados y trabajadores con los que la compañía cuenta.
Igualmente, una correcta gestión exigirá comprobar que las políticas definidas en el modelo se ajustan a los valores empresariales del código ético de la organización; y que los procedimientos de gestión y los controles que, en los mismos se prevén, son los adecuados para desarrollar esas políticas y para prevenir los riesgos tal y como han sido evaluados. Además, en una gestión por procesos, habrá que verificar que los procedimientos y los controles se alimentan adecuadamente con la debida información por parte de los responsables de los mismos y que, en su consecuencia, el cumplimiento de dichos procedimientos y controles por las distintas unidades de negocios es también plenamente satisfactorio.
2.- Informar y formar sobre el modelo de prevención: A los directivos, trabajadores y empleados de la organización acerca de la existencia del modelo; alcance y su contenido concreto. Requisito esencial y fundamental de cualquier programa de cumplimiento eficaz, porque no se puede exigir su cumplimiento sin que se conozca su contenido. Por lo tanto, es básico que la organización ponga a disposición del Compliance Officer todos los medios y recursos que sean necesarios para que todo el personal esté informado del programa de cumplimiento, pero es su responsabilidad el asegurarse de que esa información les llega, correcta y debidamente, a los
Responsabilidad del Compliance Officer penal no es sólo la información a directivos, empleados o trabajadores, sino también su formación que ha de ser adecuada a las funciones que cada uno de ellos desempeña en el seno de la organización.
La formación debe, pues, incluir la impartición de sesiones formativas periódicas, ya sean generales, ya por departamentos o unidades de negocios, que deberá coordinar, aunque no necesariamente impartir, el Compliance Officer y su equipo. Debe estar particularmente atento a todos los cambios significativos en la forma de hacer negocios, a los cambios técnicos y tecnológicos, a los cambios en la estructura de la empresa, a las modificaciones legales y/o regulatorias. Y, demás, aspectos relacionados con el modelo de prevención y el manual propiamente dicho.
Como regla general, el contenido del programa de compliance se puede incluir en un MANUAL; compuesto, principalmente, de las siguientes partes.
- Descripción general sobre las características y componentes esenciales del manual: Deberes y facultades del responsable de cumplimiento normativo, los canales de comunicación con dicho responsable, las obligaciones de información y formación a los representantes, administradores, trabajadores y empleados de la organización y el sistema de medidas disciplinarias susceptibles de ser impuestas en caso de cualquier incumplimiento del mismo. Y lleva consigo,
- Descripción detallada de la responsabilidad penal de la organización empresarial, su regulación y alcance material.
- Mapa de riesgos que identifique las áreas de riesgo, enumere los delitos susceptibles de generar responsabilidad penal de la compañía o grupo empresarial que sean relevantes para cada empresa del grupo, describa las conductas que potencialmente puedan ser delictivas; y determine las políticas y procedimientos internos adecuados para prevenir los riesgos ya identificados.
- Información sobre el código ético, de conducta de la organización.
3.- Revisar, actualizar y modificar el modelo de prevención: Debe tenerse presente que un modelo de prevención es, básica y principalmente, un programa de gestión dinámico que pretende PREVENIR riesgos futuros; y minimizarlos o evitarlos. De ahí que los procedimientos y controles previstos resultaran válidos mientras se mantengan las idénticas condiciones ambientales sobre las que se diseñó; y mientras no se detecten fallos, e incumplimientos o comportamientos delictivos que evidencien sus debilidades. Por ese motivo, si las normas legales que rigen el funcionamiento de la organización, el del sector de actividad en el que ésta ópera o las condiciones ambientales de la empresa compañía o sociedad cambian, el programa ya no puede tener la misma validez, en términos de adecuación y eficacia. Cualquier variación, pues, en el mapa de riesgos obliga a revisar y, en su caso, modificar el programa. Por lo tanto en la medida en que la supervisión del funcionamiento y del cumplimiento del modelo es tarea del responsable de cumplimiento normativo penal, sin duda alguna que también forma parte de sus funciones instar su revisión y, en su caso, su modificación.
4.-Gestionar, adecuadamente, el canal de denuncias y las investigaciones internas: Aunque no tienen por qué ser funciones específicas del responsable de cumplimiento normativo, también es posible que la alta dirección o gerencia le encomiende, particularmente, la gestión de la detección de los comportamientos delictivos, tanto a través del canal de denuncias como a través de las investigaciones internas. Y estas investigaciones internas se pueden poner en marcha, bien como consecuencia de las informaciones que se reciban del canal de denuncias, o bien como consecuencia de otro tipo de informaciones o de decisiones de política empresarial. Y para ello la organización tiene que facilitar la canalización de esas denuncias que, en última instancia, sí es obligatorio que le lleguen al responsable de cumplimiento normativo, aunque no sea él el responsable de gestionarlo.
NO DEBEMSO OLVIDAR, por lo tanto, el deber de garantizar la confidencialidad en las denuncias, para lo cual son esenciales estos canales (o vías) de denuncia protectores tanto para el afectado (denunciado) como para con el denunciante. Al efecto, resulta de vital importancia y deberá ser tenida presente LOPD, así como el criterio de la AEPD sobre la creación de sistemas de denuncias internas en las empresas, o WHISTLEBLOW
Por último, a mayor abundamiento, debe recordarse que en las personas jurídicas de pequeñas dimensiones, esto es, las que estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada, las funciones del oficial de cumplimiento podrán ser asumidas directamente por el órgano de administración, ex art 31 bis 3 CP.
Antonio Castillo Jiménez.
Licenciado en Ciencias del Trabajo. Licenciado en Derecho
Abogado. Director/Jefe de Seguridad Privada.
Profesor Seguridad Privada. Perito Judicial Seguridad Privada.