Updated: Nov 28, 2018
Mucho se habla y hablado sobre Compliance los últimos años. Compliance, Corporate Defense, Cumplimiento. Lo hemos escuchado con múltiples nomenclaturas. Pero ¿de verdad el Compliance sirve para algo? ¿Es un invento para hacer negocio por las grandes consultoras? ¿Cómo puedo saber que estoy siguiendo un programa de cumplimiento adecuado? ¿Por qué tengo que tener en cuenta la normativa internacional? Vamos a repasar los factores principales para que el programa de Compliance de tu negocio sea ÚTIL.
En primer lugar, el Compliance o Corporate Defense es un concepto que fue introducido hace muchos años en la legislación de Estados Unidos, de la que han emanado el resto de las normativas que siguen sus líneas maestras. Es decir, no es un término acuñado en esta década, tiene mucho tiempo de recorrido. Las raíces de los conceptos son relevantes para poder comprender las diferentes bifurcaciones. Hay palabras que, sencillamente, no tienen traducción, o que en su traducción pierden parte de su contenido y origen. Es como si a una persona que nace en Irlanda y lleva llamándose Jon toda su vida, va a España y pretendemos convertirlo en Juan. Esa persona perderá su identidad y su contexto, y no se sentirá vinculada con su “nuevo” nombre.
La información sobre este tipo de programas en la actualidad es absolutamente desorbitada. Han proliferado los programas “modelo” dependiendo de la categoría por compañías (grandes cuentas o pymes). Las grandes corporaciones siguen determinados patrones por categorías, sin diferenciar la singularidad de cada negocio. Asimismo, son múltiples las plataformas que te ofrecen en dos minutos rellenar un formulario y prometen diseñarte un programa de cumplimiento sin más esfuerzo que las herramientas software de análisis de datos.
¿Por qué esto no vale? Por aplicar una regla sencilla: porque en derecho, como en la vida, no sirve de nada a largo plazo hacer algo para cubrir el expediente o cubrirse las espaldas. Tarde o temprano hay que salir a la luz.
Los “programas de cumplimiento cosméticos” o “Paper Compliance” se han definido como totalmente ineficaces para evitar posibles responsabilidades y garantizar un buen gobierno corporativo. Los “Paper Compliance” son modelos de cumplimiento normativo y ético incorporados por las empresas en apariencia pero que carecen de una aplicación real. La Fiscalía ya ha alertado sobre la proliferación de este tipo de ‘planes de cumplimiento cosméticos’ y está preocupada por el abuso que hacen las empresas de estos.
Cómo se detecta un plan de cumplimiento cosmético: por exceso y por defecto:
- Los planes por exceso, como los 14 tomos de una causa, que no es digerible por ningún trabajador ni empleado.
- Junto a ellos los Planes por defecto, que sólo hagan un copia-pega del Código Penal sin incluir los elementos del art. 31 bis 5 del Código penal. Planes sin monitorización o adaptación posterior (31 bis 5. 6º CP) y por último “Planes que se puedan demostrar que formalmente son correctos, pero que con otras pruebas, como correos electrónicos filtrados, se pueda demostrar que eran un paripe"
"Desde luego, los planes que se copien, que se detecte que sean estándar, no van a tener ningún valor para la fiscalía”, aseguraba el fiscal Frago. ¿Y cómo se va a detectar? Hay diversas cuestiones que despiertan la suspicacia de los fiscales. Desde un volumen excesivo del plan de cumplimiento hasta un clonado directo de otros planes, pasando por un ‘copia y pega’ del Código Penal o planes que prevén delitos que han sido incluidos con posterioridad.
“Otro de los puntos que nos pueden poner en alerta es tener pruebas que detectan que, en realidad, no se pretendía crear un plan robusto o que sea un plan de prevención sin complementos, especialmente en el caso de grandes empresas”. Unos complementos que, si bien no entrarían en el Derecho Penal estrictamente, sí que sirven para determinar que la empresa está realmente implicada en un cambio de cultura. Serían, por ejemplo, los planes de igualdad, los planes de prevención de acoso laboral y sexual o los planes de protección medio ambiental.
En los Tribunales de Justicia de Estados Unidos, hay expertos en Compliance para los casos específicos sobre Compliance penal que hubiesen ocupado anteriormente puestos de alta dirección en compliance en importantes empresas. Por ejemplo, Hui Chen integro el Departamento de Justicia de Estados Unidos como experta en Compliance. En su artículo “Seven Signs of Ineffective Compliance Programs” expone de manera magistral cuales son las claves para detectar un programa de cumplimiento ineficaz:
Lack of Financial and Organizational Discipline
Legal Dominated Compliance
Citing Sentencing Guidelines as the Standard.
Counting Training Completion Rate (and other invalid or incomplete metrics).
Single-Statute Compliance
Disproportionate Focus on Gifts-Meals-Travel-Entertainment.
Hay que tener en cuenta siempre el contexto geográfico. Pero, si mi empresa es española, ¿por qué tengo que preocuparme por la legislación internacional?
En primer lugar, mucha legislación internacional penal aplica de forma extraterritorial, como la Foreign Corrupt Practice Act (“FCPA”), UK Bribery Act, Criminal Finances Act UK. Criminal (Corruption Offences) Act- Ireland. Las leyes no son un bloque cerrado, como si hubiese muros entre los Estados. Entender la regulación como algo local hoy en día no tiene sentido. En un mundo en el que las personas circulan libremente, así como las empresas, y los capitales, debemos abrir nuestra mente a las implicaciones de las leyes en otros países. La forma en la que “circula” la responsabilidad penal entre personas y empresas nos debe alertar sobre las grandes posibilidades que existen de que nuestro negocio tenga vínculos con otros países. No pensemos únicamente en “presencia” en dicho país, sino, por ejemplo, en empleados que se desplazan para hacer negocio o en agentes o intermediarios en el extranjero.
Y, además, los jueces centrales de instrucción empiezan a fijarse en cuestiones muy concretas que afectan a la aplicación del plan de Compliance: cuándo se empezó a diseñar y aplicar el plan de prevención; si se mandó una circular informativa al respecto a toda la compañía; si recientemente se ha internacionalizado la empresa (con las derivadas que esta acción tiene para un mapa de riesgos eficaz); o cuánto se le pagaba al Compliance officer por hacer su trabajo.
La relevancia de la dimensión internacional del Compliance va mucho más allá de la mera jurisprudencia comparada, de la misma forma que sería un error analizar los retos y obligaciones a los que se enfrentan las personas jurídicas en esta materia desde una óptica legislativa nacional.
Asimismo, las exigencias de cumplimiento de los estándares internacionales para la certificación o validación de los programas de Compliance es clara. Fundamentalmente la norma ISO 19600, que es criterio para la certificación de los programas. Pero también otras como la 37001 (ISO anticorrupción). Guías de Transparencia Internacional, directivas de Blanqueo de Capitales, e incluso las nuevas guías que hay en Reino Unido sobre evasión fiscal.
Si nos comparamos con, por ejemplo, los Estados Unidos, la brecha es considerable. De entrada, la primera sentencia contra una empresa se remonta a principios del siglo XX. Y, en la actualidad, los fiscales estadounidenses tienen una pequeña guía de unas ocho páginas sobre cómo detectar un plan de prevención real de un ‘paper compliance’ (OIG Guidelines).
Los fiscales españoles se han puesto manos a la obra y, algunos, tienen ese documento como su propia guía para afrontar la decisión de si un plan de Compliance puede exonerar o no a una empresa en caso de llegar a cometerse un delito penal en su seno.
En países de nuestro entorno ya se han producido supuestos judiciales con modelos de Compliance maduros, donde se ha evaluado, además, la conducta del equipo directivo y mandos intermedios, la desarrollada por el propio compliance officer”.
Además, los referentes internacionales deben servirnos para avanzar y aplicar las mejores prácticas a nuestros negocios y hacerlos crecer. Uno de los mayores errores a la hora de afrontar un programa de Compliance es que empezamos de una forma muy poco receptiva ante ellos, los vemos como una limitación y no como una oportunidad de desarrollo de negocio.
Francia, China, Rusia, Brasil, no únicamente los países anglosajones tienen prácticas muy interesantes en las que inspirarnos y por supuesto tener en cuenta para negocios futuros.
CONCLUSIONES:
- A medida que las empresas han incorporado a sus modelos de gestión los programas de ‘Compliance’ el foco de atención se va a desplazar a la evaluación de la eficacia de dichos programas.
- Los responsables de la función de compliance a cualquier nivel en la empresa deben pararse y reflexionar sobre lo que están haciendo. Deben tener en cuenta que es probable que, en el caso de verse sometidos a una investigación penal, su trabajo puede ser evaluado, desde tres perspectivas.
En primer lugar, que el manual de compliance cumpla con los requisitos establecidos, no solo en el Código Penal, si no en con las directrices internacionalmente aceptadas o con los estándares del tipo ISO o UNE. CONOCIMIENTO INTERNACIONAL
En segundo lugar, que el manual se haya ejecutado eficazmente en el día a día de la empresa y no sea un montón de documentación guardada en un cajón o un continua de burocracia que nadie se mira y a la que nadie hace caso. ETICA CONTINUA EMPRESARIAL.
Y, por supuesto, no puede olvidarse de que la investigación versará sobre un delito concreto por lo que va a ser inevitable que se investigue si respecto al delito investigado los controles se dejaron de aplicar deliberadamente, aunque en todo lo demás funcionaran eficientemente. RELEVANCIA DE CONOCIMIENTO PENAL A LA HORA DE ELABORAR EL PROGRAMA.
¿Es necesario tener conocimiento especifico en Derecho Penal?
Tener conocimiento de consultoría ayuda de forma significativa a la implementación de estos programas, sobre todo en el análisis de riesgos y los mapas de calor. Sin embargo, un consultor o auditor nunca podrá tener el mismo conocimiento para detección de riesgos penales que tiene un abogado penalista especializado. La visión jurídica, por ejemplo, para crear los órganos de control interno en las empresas es clave.
A raíz de los planes de cumplimiento “cosméticos” la Fiscalía ha señalado que “no basta con la existencia de un programa, por completo que sea, sino que deberá acreditarse su adecuación para prevenir el delito concreto que se ha cometido, debiendo realizarse a tal fin un juicio de idoneidad entre el contenido del programa y la infracción” o “Sobre esa adecuación destaca que “se hace desde la transversalidad. Viendo cada delito respecto a cada área, especialmente respecto a las áreas “calientes” de la empresa (contabilidad, ventas, I+D+I, etc.). Se examinará si en cada sección de la empresa, o al menos en la afectada por el delito, estaba previsto el delito y qué medidas concretas se habían establecido para eliminarlo o, al menos, paliarlo.”
Para realizar tales juicios de idoneidad el conocimiento penal es vital.
¿A que riesgos reales estoy expuesto?
Riesgo Sanción penal empresa + administrador. No debemos perder de vista que como personas físicas, los administradores de la empresa responden por la falta de labor de vigilancia en la implementación y cumplimiento del modelo. Hay delitos, como los delitos societarios, que no están incluidos en el catálogo de delitos que dan lugar a la responsabilidad penal empresarial. Sin embargo, como novedad jurisprudencial al respecto, la última sentencia del Tribunal Supremo, de 2 de agosto de 2018, habla de un programa de cumplimiento normativo como una medida de previsión de delitos eficaz, en el especifico caso de un delito de administración desleal.
Como curiosidad, la Sentencia versa sobre el delito de administración desleal y apropiación indebida, que no se incluyen dentro de la responsabilidad penal empresarial. Sin embargo, la sentencia avanza que pese a que no derivan la responsabilidad penal a la empresa por no estar reconocido como tales en sus preceptos, "sí que permiten obstaculizar la comisión de delitos como los aquí cometidos por los administradores que no dan rendición pautada de cuentas a sus socios o administradores solidarios y que cometen irregularidades, que en algunos casos, como los aquí ocurridos, son constitutivos de ilícitos penales".
Riesgo reputacional.
Riesgo competitivo/ comercial: Es un error pensar que business y compliance son opuestos. El mercado exige el programa de Cumplimiento. Para hacer negocios y cerrar acuerdos una de las cuestiones que revisarán de tu empresa es qué tipo de políticas y procedimientos tienes implementados y como cumples con la regulación existente.
Pensar que por el hecho de que tu compañía sea una Pyme o empresa regulada, no es necesario prestar mayor atención, es un gran error.
Las empresas familiares/ pymes están en el ojo del huracán, representan el 85% de nuestro sector empresarial y son las que aún no han implementado el programa de Compliance.
A las empresas reguladas les son aplicables no solo los modelos de cumplimiento sino la Ley de Prevención de Blanqueo de Capitales de la que son sujetos obligados, una de las materias más importantes y más olvidadas en el mundo del cumplimiento normativo y sobre la que pesa una fuerte regulación que ha sido recientemente modificada: Real Decreto-ley 11/2018, de 31 de agosto, modificó el pasado 4 de septiembre la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo (PBCyFT).
Un programa de Compliance debe incluir mecanismos para anticiparse a prácticas no deseadas dentro de una empresa y también debe incluir los mecanismos para detectar actos de corrupción, fraude, lavado de activos y financiación del terrorismo, y para responder a tiempo.
Finalmente, el ámbito tecnológico se ha convertido en una herramienta fundamental para la monitorización de los programas. Además de una exigencia especial en la normativa de blanqueo para ciertas operaciones.
El Real Decreto 304/2014, del 5 de mayo, por el que se aprueba el Reglamento de la Ley 10/2010, de 28 de abril, de prevención de blanqueo de capitales y de la financiación del terrorismo establece en su artículo 23 que los Sujetos Obligados con un número de alertas anuales superior a 10.000 debe implantar modelos automatizados de generación y priorización de operaciones. Además de la exigencia legal, incluso en las compañías más pequeñas no contar con sistemas automatizados es una enorme diferencia que supone al final un gasto doble en recursos y en tiempo.
Por qué Lecomser.
Conocimiento penal (abogados especializados penalistas)
+
Consultoría (aplicación del mundo de consultoría al ámbito penal)
+
Ámbito tecnológico (acuerdo con un equipo experto en Data Analytics y prevención de fraude con programas software específicos)
+
Conocimiento internacional
En Lecomser somos abogados, consultores, expertos en Data Analytics, y trabajamos desde el valor que aporta el ámbito internacional. LO REUNIMOS TODO.
El Compliance es una realidad, no una “moda pasajera” que queda olvidada cuando después de la reforma del Código Penal con la prisa y la presión de la palabra “penal” implementamos un programa que actualmente custodia el Compliance Officer.
Sin embargo, es cierto que el exceso de información sobre los programas de Compliance ha generado rechazo hacia lo desconocido y vasto, por desorbitado y por pensar que no nos ayuda, sino que son trabas que nos impiden avanzar. Existen demasiadas puertas abiertas en este campo, la misión de los especialistas es explicar de forma adecuada qué puertas debes abrir primero.