El proyecto Castor y los protocolos de toma de decisiones

Este artículo se basa en la información publicada en los medios de comunicación sobre el proyecto Castor y ha sido escrito con la única finalidad de realizar un análisis teórico de los protocolos de toma de decisiones y los modelos de prevención y control en las empresas. El autor no tiene la intención de valorar la actividad preventiva desarrollada por las empresas y organismos públicos participantes en el proyecto.

En el artículo Ébola y compliance me referí de manera esquemática a los protocolos de toma de decisiones como uno de los elementos clave de un modelo de prevención y control de riesgos legales en el seno de una empresa. Si en ese artículo utilicé la gestión de la crisis del Ébola en España como análisis teórico basado en el estudio del caso, en este artículo voy a utilizar el proyecto Castor como referencia en el análisis de un proceso de toma de decisiones orientado a la prevención de riesgos.

Protocolo de toma de decisiones

En el proyecto de reforma del Código Penal se establece que los modelos de organización y gestión de las empresas deberán establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas.

En mi opinión, el esquema básico de un proceso de toma de decisiones críticas o de alto riesgo, que debería formar parte del reglamento del Consejo de Administración y del modelo de prevención y control de una empresa, es el siguiente:

- Solicitud de informes internos y externos
– Asesoramiento técnico especializado en los riesgos a prevenir
– Asesoramiento jurídico especializado en los riesgos a prevenir
– Evaluación objetiva de los riesgos: laboral, fiscal, medioambiental, penal, etc.
– Análisis de advertencias y mensajes de alerta recibidos
– Análisis de escenarios posibles
– Análisis de alternativas
– Análisis de costes y nivel de endeudamiento
– Balance de prioridades entre intereses individuales y colectivos
– Mayoría reforzada en el proceso de votación

Informes obligatorios

Además de los informes que la empresa decida solicitar voluntariamente en la fase inicial del proceso de toma de decisiones, la solicitud de estos informes puede ser en muchos casos un requisito establecido por la ley.

Entre los numerosos ejemplos de esta obligación legal tienen especial trascendencia para los proyectos de compliance los tres siguientes:

1. Los informes previos exigidos en la Ley de Evaluación Ambiental

2. El informe de experto previsto en la normativa de prevención del blanqueo de capitales.

3. Los informes exigidos en la Ley de Sociedades de Capital, entre los que destacan los siguientes:

- Informe técnico sobre la viabilidad de la sociedad proyectada
– Informe técnico sobre la valoración de las aportaciones no dinerarias
– Informe que justifique las adquisiciones onerosas durante los dos primeros años
– Informe de valoración de acciones y participaciones
– Informe de gestión
– Informe de auditoría
– Informes relativos a los puntos del orden del día de una junta general
– Informe de justificación de la modificación de los estatutos sociales
– Informe previo al aumento de capital con cargo a aportaciones no dinerarias
– Informe previo al aumento de capital por compensación de créditos
– Informe de valoración previo a la separación y exclusión de socios
– Informes previos a la liquidación de la sociedad
– Informe previo a la conversión de obligaciones convertibles en acciones
– Informe previo a la supresión del derecho de suscripción preferente
– Informes solicitados por el sindicato de obligacionistas
– Informe previo a la constitución por fusión de una sociedad anónima europea
– Informe previo a la constitución por transformación en sociedad anónima europea
– Informe previo a la representación de las acciones de sociedades cotizadas
– Informe previo a la aprobación del reglamento del Consejo en las sociedades cotizadas
– Informe de buen gobierno corporativo en las sociedades cotizadas

He querido ser especialmente exhaustivo en la relación de estos informes para demostrar las numerosas obligaciones que la Ley de Sociedades de Capital exige a las sociedades en relación a los informes que tienen que recabar antes de realizar acciones que pueden afectar a la empresa, a sus accionistas y los restantes grupos de interés.

El proyecto Castor

De acuerdo con la información publicada en los medios de comunicación, las elementos que objetivamente debían ser prioritariamente valorados antes de iniciar el proyecto Castor, por afectar al medio ambiente y a la seguridad colectiva, eran los siguientes:

- El gas se iba a almacenar en una cavidad del subsuelo marino de la costa de Vinaroz
– La cavidad estaba cerca de la falla de Amposta
– En esta zona el subsuelo está formado por roca caliza porosa
– La cavidad se había formado con la extracción de petróleo entre 1973 y 1989
– El vacío dejado por el petróleo originó una probable contracción de la roca porosa
– Al inyectarse gas a 250 atmósferas la roca porosa podía expandirse y provocar fracturas
– La expansión de la roca porosa podía afectar a la falla de Amposta
– Como resultado del desplazamiento de la falla se podían producir temblores
– Tras el procedimiento correspondiente se publicó la declaración de impacto ambiental
-
 En ella se mencionaba la recepción de 141 escritos de los afectados de la zona
– En estos escritos se alegaban, entre otros riesgos, el de terremotos (Página 94816)
– En el estudio de impacto ambiental no hay ningún apartado relativo al riesgo sísmico
– En la declaración de impacto ambiental tampoco

Análisis de advertencias de riesgo

He incluido en el protocolo de toma de decisiones un apartado relativo al análisis de las advertencias de riesgo recibidas por el Consejo durante el periodo previo al proceso de formación de la voluntad societaria.

Es de vital importancia tener en cuenta estas advertencias de riesgo, ya que, si se produce un siniestro, la prueba de que la empresa ni siquiera las ha analizado puede ser decisiva en el momento de evaluar actuación y su eventual responsabilidad por parte de los tribunales, los peritos y las compañías de seguros.

También es importante valorar la existencia de evidencias que acrediten la recepción de la advertencia por parte del Consejo. Una advertencia publicada en el BOE, como en el caso  de la declaración de impacto ambiental, es una evidencia clara del conocimiento del riesgo.

La empresa debe esforzarse en estos casos en analizar a fondo la advertencia y determinar, a través de los correspondientes expertos en la materia, el nivel de probabilidad de que el riesgo se materialice y su posible impacto.

El objetivo final será determinar dónde se encuentra el umbral que diferenciará una decisión prudente de una decisión arriesgada.

Una vez finalizado el proceso de información y análisis de riesgos, el Consejo procederá a la votación de la decisión, que deberá contar con una mayoría reforzada proporcional al nivel del riesgo asumido. Y teniendo siempre en cuenta que en materia de riesgos penales no es posible hablar de apetito de riesgo.

 

La responsabilidad del Compliance Officer como estrategia de defensa de la empresa

En relación a la reciente advertencia del jurista alemán y catedrático de derecho penal, Cornelius Prittwitz, sobre el riesgo de que las empresas desplacen su responsabilidad legal hacia la figura del Compliance Officer, mi opinión es que habrá que tener en cuenta las circunstancias de cada caso en el momento de realizar la atribución de responsabilidades. Entre los principales elementos a valorar destacan a mi juicio los siguientes:

La doctrina jurisprudencial que establece que “los contratos son los que son y no lo que las partes dicen que son”. Análogamente, por mucho que una empresa quiera desplazar su responsabilidad al compliance officer, será el juez el que valorará las circunstancias de cada caso y la cuota de responsabilidad de cada una de las personas que forman la estructura de control de la empresa, incluyendo a la propia empresa.

La Circular 1/2011 de la Fiscalía General del Estado en la que se venía a advertir a los fiscales españoles que no se dejasen deslumbrar por el despliegue de medidas de control meramente teóricas y sin acreditación de su efectividad, aportadas por las empresas imputadas como prueba del debido control. El ya famoso compliance cosmético o make-up compliance.

La cultura real de cumplimiento o incumplimiento de la empresa, que es la que finalmente debe ser tenida en cuenta, como sucedió en el caso SAC, en el que la empresa se defendió de la acusación de tener una cultura orientada al uso de información privilegiada alegando que tenía 38 compliance officers.

- La concurrencia de factores como la tolerancia dolosa, que pueden provocar la derogación del control y por ello, la ineficacia de un modelo de prevención y control.

El criterio de la proximidad del riesgo, aplicado por ejemplo en el caso de los accidentes laborales, mediante el que se valora la capacidad del responsable del control de evitar el riesgo en función de la distancia funcional o geográfica que le separa del riesgo. Este criterio hace que la responsabilidad derivada de un accidente laboral en una fábrica se depure en ese centro de trabajo y no afecte al Consejo, salvo que haya un incumplimiento generalizado de la normativa de prevención de riesgos laborales. El Compliance Officer estaría en una situación de garante genérico parecida a la del Consejo, mientras que el Delegado de PRL en la fábrica sería un garante específico y mucho más cercano al riesgo.

Los recursos asignados por la empresa al Compliance Officer. De manera parecida a la responsabilidad del Delegado de Prevención de Riesgos Laborales, el Compliance Officer no podrá ser declarado responsable si la empresa no le ha asignado recursos suficientes para realizar su función.

La forma en que se ha realizado la delegación de las funciones de control. La jurisprudencia define los requisitos que debe cumplir una delegación de funciones por parte del Consejo, de manera que una delegación incompleta o imperfecta podría exonerar de responsabilidad al Compliance Officer. Para ello habría que valorar las descripción del puesto de trabajo (Job description), así como las políticas, normas, procedimientos, manuales, instrucciones y órdenes directas en las que figure una asignación expresa de funciones de control al Compliance Officer.

- La posibilidad de que el Consejo haya delegado al Compliance Officer funciones de control indelegables, de acuerdo con la normativa mercantil en preparación. Esta circunstancia también eximiría de responsabilidad al Compliance Officer, especialmente en el caso de sociedades cotizadas.

- La posible falta de adaptación de los estándares internacionales a la realidad española y a su sustanciación en los tribunales.

- La posición que ocupa el Compliance Officer en la estructura de control de la empresa y, de acuerdo con ello, la posibilidad de que no tenga asignada una función directa de control, sino de coordinación de los diversos responsables de control de la empresa, que por su proximidad al riesgo y por sus conocimientos especiales en la prevención de cada tipo de riesgos son los verdaderos garantes y por ello responsables en caso de omisión de un deber específico de control.

- Otros argumentos, como la imposibilidad de tener todos los conocimientos necesarios para realizar de forma eficaz la función de control en las diferentes áreas de la empresa, que ya cité en el artículo titulado “Compliance Officer o cómplice officer” que dividí en dos partes:

Primera parte
Segunda parte

Por todo ello veo difícil que las empresas consigan desplazar toda la responsabilidad legal a la figura del Compliance Officer.

 

Ficha de Compliance – Incendio en Campofrío

Breve nota sobre el incendio de ayer en la planta de Campofrío en Burgos, en forma de ficha de Compliance. La información ha sido extraída de los medios de comunicación para realizar un análisis teórico y sin la intención de valorar la actividad preventiva de la empresa.

Características del siniestro


Tipo de siniestro: Incendio
Instalaciones afectadas: Planta de Campofrío en Burgos
Número de trabajadores de la planta: más de 1.000

Riesgos asociados


Seguridad laboral: 20 trabajadores en la planta en el momento del incendio
Seguridad pública: Cercanía de un núcleo de población grande y de un hospital
Medio ambiente: Riesgo de contaminación del aire y daños en el entono natural

Circunstancias de riesgo específicas


Riesgo de que el fuego se extendiera a un gran depósito de amoníaco
Riesgo de nube tóxica de amoníaco
Riesgo de que el fuego afectara a las conducciones de amoníaco del interior de la fábrica
Activado el Plan de Emergencia Municipal
Evacuación a los vecinos de la zona.
La evacuación afectó a 400 personas aproximadamente.

Medidas aplicadas


Activación del Plan de Emergencia Municipal
Activación de la Sala de Emergencias
Actuación del cuerpo de bomberos
Corte del tráfico circundante
Evacuación de los trabajadores de la fábrica
Evacuación de los vecinos afectados
Medición de la toxicidad del aire en la zona afectada
Medición del nivel de amoníaco en suspensión
Plan de comunicación
Mensaje informativo a clientes, proveedores y consumidores
Plan de abastecimiento de emergencia del mercado
Plan para recuperar la capacidad productiva

Posibles causas


Se habla de un posible cortocircuito en una zona de paneles eléctricos
La planta no estaba en producción en el momento del incendio

Controles afectados


Sistemas de detección de incendios
Sistemas de alarmas
Sistemas de extinción automatizada de incendios
Sistemas de extinción manual de incendios
Planes de emergencia
Planes de evacuación
Mapa de controles relativo a los delitos contra el medio ambiente
Mapa de controles relativo a los delitos contra la seguridad pública
Mapa de controles relativos a los delitos contra los trabajadores y la seguridad laboral
Repositorio de evidencias

Efectos del incencio


Cuatro personas posiblemente intoxicadas por inhalación de humo
Daños materiales muy altos y posible destrucción de la planta
Posible destrucción de señalética y de evidencias de control debido a las altas temperaturas alcanzadas

Seguro de directivos D&O y responsabilidad penal

El rechazo a la petición de Miguel Blesa de cubrir su fianza de 16 millones con cargo al seguro de responsabilidad civil de consejeros que en su día suscribió Caja Madrid ha generado un debate sobre la cobertura de este tipo de seguros en el caso de la imputación de un delito a un directivo o a la sociedad.

Paralelamente, las empresas están en estos momentos planteando la renovación o modificación de estas pólizas para dar cobertura, durante el próximo ejercicio, a la responsabilidad civil de sus directivos, por lo que es el momento propicio para valorar el alcance de estos seguros.

Opcionalmente, algunas compañías ofrecen la posibilidad de incluir en el ámbito de la cobertura del seguro algunos aspectos relativos a la responsabilidad penal de la empresa.

La responsabilidad civil derivada de la comisión de un delito por parte de un directivo no puede quedar cubierta por la póliza, debido a la concurrencia de dolo, pero los gastos de defensa de la empresa para hacer frente a una eventual acción penal contra la misma por omisión del debido control sobre el directivo sí podrían llegar a estar contratados. Tras la reforma del Código Penal de 2010 algunas compañías de seguros incluyeron esta posibilidad, junto a otras prestaciones, en los seguros de D&O.

Sin embargo, debe tenerse en cuenta que en los grupos de empresa existe la posibilidad de que la póliza haya sido suscrita por la sociedad matriz del grupo en relación a todos los directivos de las empresas que lo forman. Ello genera el riesgo de que la cobertura del seguro no se extienda a la compañía en la que el directivo presta sus servicios.

Por todo ello, en el momento de comprobar el alcance real del seguro de D&O, deberán tenerse en cuenta los siguientes puntos:

Cobertura en relación al directivo

Deberá comprobarse los actos y responsabilidades que quedan incluidos en la cobertura del seguro y los que quedan excluidos. Es normal que los delitos estén excluidos, dada su naturaleza dolosa, así como la responsabilidad civil derivada de los mismos.

Cobertura en relación a la empresa

Deberá comprobarse en qué supuestos podrá la empresa hacer frente a la responsabilidad civil derivada de las acciones u omisiones del directivo. Probablemente quedará excluida la responsabilidad civil derivada del delito, pero podría contratarse la extensión a la responsabilidad penal. Para ello habrá que valorar toda la oferta existente en el mercado, ya que no todas las compañías de seguros ofrecen este servicio.

Responsabilidad penal corporativa

Las pólizas de responsabilidad civil suscritas por las empresas están limitadas a los riesgos del negocio y no cubren la responsabilidad penal corporativa. El cauce habitual para cubrir este riesgo es a través de los seguros de D&O. Esta cobertura se limita generalmente a los gastos de defensa. Reconociendo la dificultad jurídica para que llegue a existir un producto así, además del coste prohibitivo de la prima, el escenario ideal para una empresa incluiría la posibilidad de asegurar el impacto económico de la pena principal (pérdida de bonificaciones fiscales o de Seguridad Social, saldos fiscales, ayudas públicas y contratos públicos), la multa y la indemnización por daños y perjuicios.

Fianzas

Es importante comprobar si las fianzas están incluidas. Algunas compañías ofrecen esta cobertura, pero lo más probable es que las fianzas estén excluidas en relación a procedimientos penales o que sólo se contemplen los costes de constitución de las mismas.

Grupos de empresa

En los grupos de empresa deberá tenerse en cuenta la diferencia entre tomador y asegurado. Lo más probable es que el tomador sea la matriz del grupo y que los asegurados sean los directivos del grupo. Pero también deberá comprobarse si las compañías del grupo figuran como aseguradas en el caso de una acción de responsabilidad penal corporativa derivada de las acciones u omisiones del directivo y de la falta de control sobre las mismas. De no ser así, podría darse el caso de que, a pesar de haberse contratado esta cobertura, la empresa afectada no estuviese contemplada en el contrato de seguro.

La póliza de seguros constituye el último elemento de un programa de corporate compliance. Cuando todos los muros de contención que defienden a la empresa fallan, el último recurso es tener aseguradas todos los riesgos posibles con el fin de salvaguardar el patrimonio de la empresa y de sus directivos.

Ébola y compliance

Los errores cometidos en la gestión de un desastre son comprensibles cuando nos enfrentamos a algo repentino y desconocido. Es posible que una reacción instantánea, basada en razones de extrema urgencia, impida aplicar las mínimas cautelas, que después del desastre se presentarán como las más razonables y evidentes.

También son comprensibles los errores cuando hablamos de riesgos conocidos pero difíciles de predecir y de evitar, dada la cantidad y la complejidad de los datos a analizar y el carácter aleatorio de los sucesos relacionados con el riesgo.

Pero cuando un riesgo es conocido, medible, previsible, evitable, e incluso puede ser transferido a terceros o diferido en el tiempo, tomar decisiones sin la debida información y realizar actuaciones sin aplicar las medidas preventivas establecidas puede y debe generar responsabilidades.

La crisis del ébola generada en España se ha convertido, desgraciadamente, en un caso de estudio en materia de compliance, ya que sirve para ilustrar todas las fases de la gestión de un riesgo que deben ser contempladas en un modelo de prevención y control.

No voy a analizar en este caso la posible concurrencia de un elemento de ajenidad e incluso de riesgo moral en la gestión pública, o más bien política, de una amenaza como ésta, sino el contenido del modelo teórico que se habría aplicado en un mundo ideal.

En este caso, el modelo debería incluir todos los controles asociados a la prevención de los riesgos relacionados con la salud pública, la seguridad pública y la seguridad en el trabajo, reforzados con los controles específicos del ébola.

A continuación relaciono, de manera cronológica, algunas de las enseñanzas del caso analizado que se expresan en una minúscula muestra de las medidas preventivas que podemos trasladar al mundo de la empresa con el fin de incluirlas, si no lo están ya, en un modelo teórico de prevención y control corporativo, de acuerdo con el esquema definido en el Anteproyecto de Código Mercantil y en el Proyecto de reforma del Código Penal.

Del mismo modo, las enseñanzas de los modelos empresariales de prevención y control podrían haberse aplicado desde el principio a este caso para el beneficio de toda la población.

Protocolo de toma de decisiones

Escenario real: Posible repatriación de ciudadano español contagiado por ébola.

Escenario corporativo: Una empresa debe tomar una decisión de alto riesgo

Controles que debería incluir un modelo de prevención y control corporativo:

- Solicitud de informes internos y externos
– Asesoramiento técnico especializado en el riesgo
– Asesoramiento jurídico especializado en el riesgo
– Evaluación objetiva del riesgo
– Análisis de escenarios posibles
– Análisis de alternativas
– Análisis de costes
– Balance de prioridades entre intereses individuales y colectivos
– Mayoría reforzada en el proceso de votación

Planificación

Escenario real: Traslado de enfermo de ébola a país sin antecedentes ni experiencia

Escenario corporativo: Planificación de un proyecto de alto riesgo en el que la empresa no tiene experiencia

Controles que debería incluir un modelo de prevención y control corporativo:

- Solicitud de modelos de planificación a expertos internacionales
– Contratación de expertos externos
– Políticas, normas y procedimientos
– Formación adecuada y experta para todos los miembros del equipo
– Hot line para la resolución inmediata de dudas
– Canal de comunicación de situaciones de riesgo
– Diseño de protocolos
– Plan de adecuación y actualización de protocolos
– Planes alternativos
– Planes de respuesta y emergencia
– Selección de la ubicación más adecuada
– Comisión de seguimiento
– Gabinete de crisis
– Plan de comunicación
– Plan de concienciación en relación al riesgo de alarma social desproporcionada
– Gestión de la fase posterior al proyecto
– Plan de gestión de los residuos contaminados

Formación

Escenario real: Equipo sanitario aparentemente sin experiencia ni formación adecuada

Escenario corporativo: Asignación de funciones de alto riesgo a un equipo sin experiencia ni formación adecuada

Controles que debería incluir un modelo de prevención y control corporativo:

- Formación adecuada por parte de profesionales expertos
– Plataforma de e-learning que permita las repeticiones que sean necesarias
– Contratación de personal experto que actúe como guía
– Hot line para la resolución inmediata de dudas
– Formación genérica en materia de riesgos laborales
– Formación específica en materia de riesgos asociados a las funciones asignadas
– Manual de uso de cada EPI (Equipo de protección individual)
- Formación específica en el uso de los EPIs
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
– Grabación en vídeo de los procesos críticos para conseguir trazabilidad
– Actos prohibidos
– Actos permitidos

Medidas de seguridad y protocolos

Escenario real: Medidas de seguridad y protocolos aparentemente no adaptados al riesgo del ébola.

Escenario corporativo: Medidas de seguridad proporcionadas al alto riesgo del proyecto

Controles que debería incluir un modelo de prevención y control corporativo:

- Medidas de seguridad adaptadas al riesgo de la actividad y al riesgo
– Medidas de prevención de riesgos laborales adaptadas a la actividad y al riesgo
– Protocolos actualizados
– Protocolo de adecuación y actualización del modelo de prevención
– Asimilación y difusión de la experiencia adquirida
– Estructura de control
– Nombramiento de supervisores
– Monitorización y seguimiento
– Comisión de seguimiento
– Gabinete de crisis
– Segregación de tareas
– Política de cuatro ojos
– Canal de comunicación de situaciones de riesgo
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
Equipos de protección individual homologados
- Preparación y adecuación de las instalaciones
– Zonas de descontaminación
– Identificación del personal con acceso al proyecto
– Control de todo el ciclo de vida del proyecto
- Control de la fase posterior a la finalización del proyecto
- Control de los proveedores implicados en el proyecto
– Prohibición de subcontrataciones a los proveedores
- Monitorización de la salud del equipo durante el proyecto y en la fase posterior
– Seguimiento de los plazos de incubación en contactos directos e indirectos
– Protocolos de emergencia, cuarentena y aislamiento
– Gestión adecuada de los residuos contaminados

Como he comentado, esta selección de controles es una muestra minúscula, dado el alto riesgo del proyecto, pero si todos estos puntos parecen excesivos, sólo hay que mirar las consecuencias de su incumplimiento. Como dijo Paul McNulty: “If you think compliance is expensive, try non-compliance”.

Bonus, riesgo moral y Código Penal

El bonus, como elemento de motivación y recompensa, sigue en el punto de mira, y no son pocos los que consideran que su uso desmedido ha sido uno de los factores que han contribuido a la crisis. La ecuación es fácil: apuesta por el crecimiento, objetivos agresivos, bonus millonarios, saturación del mercado, dificultad para colocar los productos tradicionales, creación de productos con mayor riesgo, etc. Ahora es fácil ver cómo, entre todos, hemos conseguido diseñar una tormenta perfecta. El análisis de los factores que la desencadenaron debería ser suficiente para prevenirlos, sin embargo, los ciclos de la economía demuestran que no es así.

Una teoría confirmada es la del riesgo moral. Cuando conseguimos que alguien se sienta protegido frente a las consecuencias, su comportamiento será distinto del que habría tenido en caso de estar expuesto a ellas. Por ejemplo, no es razonable esperar que el comportamiento de alguien que gestiona el capital de miles de accionistas sea el mismo que el del que gestiona su propio capital. Tampoco es razonable esperar que alguien rescatado de una situación crítica realice un enorme esfuerzo para evitar volver a caer, si tiene la certeza de que volverá a ser rescatado. Pedro Schwartz va más allá y traduce el concepto “moral hazard” como riesgo inducido, refiriéndose a aquellas situaciones en las que la recompensa o el eventual rescate actúan como inductores de una acción fraudulenta o perjudicial.

Conociendo la relación entre el bonus y los riesgos, y que incrementando la recompensa aumentamos las amenazas, resulta lógico definir un modelo de bonus prudente y equilibrado.

La reforma del Código Penal debería ayudar a definir correctamente la estructura de los bonus, ya que la política retributiva de una empresa puede evidenciar, tanto la existencia del control debido para la prevención de delitos, como su inexistencia. La estrategia de defensa del acusado en el caso de Société Générale fue justamente la excesiva presión comercial de la empresa, el bonus y la retirada de sus límites de contratación.

Una medida preventiva, orientada a evitar supuestos de responsabilidad penal de la empresa por los actos de directivos excesivamente motivados, consistiría en asociar los bonus a objetivos que no fuesen exclusivamente cuantitativos. Paralelamente a la apuesta por el crecimiento y la rentabilidad, es necesario vincular la remuneración variable a una serie de indicadores asociados a parámetros cualitativos medibles de forma continuada.

Por ejemplo, un bonus vinculado al ratio de solvencia o liquidez puede ser útil para el futuro financiero de la compañía, pero también una prueba clara de que se quiere evitar una situación de insolvencia perjudicial para el mercado y que puede ser punible.

Otros indicadores cualitativos que estarían asociados a bonus podrían ser: el correcto uso de la información privilegiada, la eliminación de la creatividad en la contabilidad corporativa, la erradicación de cualquier tipo de dádiva dirigida a funcionarios públicos, clientes o proveedores, el cumplimiento de la normativa medioambiental y urbanística, las buenas prácticas tributarias, la explotación del I+D+i propio y no el de competidores, la exigencia de que los fichajes de la competencia no aporten información confidencial, ni datos de clientes y un largo etcétera de comportamientos que formarían el capital ético de la empresa.

Estos objetivos son medibles y su control puede evitar el impacto reputacional y económico de una sentencia condenatoria, que perjudique seriamente el cumplimiento de otros objetivos tan deseados como vulnerables. Podemos verlo como un planteamiento excesivamente simplista si los resultados del trimestre son la máxima prioridad, pero si nuestro objetivo es a largo plazo, cumplir las reglas del juego deberá ser una parte esencial del negocio. Y lo sencillo es a veces lo más difícil.

Uso ilícito de las tarjetas de empresa

Artículo de opinión publicado en Expansión el 4 de octubre de 2014 (Página 50)

Las tarjetas de empresa son utilizadas habitualmente para el pago de los gastos que el directivo realiza en nombre de la empresa. En la mayoría de los casos se trata de gastos de viaje, alojamiento y manutención que deben estar directamente relacionados con la actividad de la empresa. En los casos en que no es así, o cuando se superan los límites legalmente establecidos, la tarjeta de la empresa puede convertirse en un instrumento remuneratorio.

Para que el uso corporativo de la tarjeta sea correcto, el directivo debe entregar al departamento de contabilidad la factura y el justificante del pago. Si la cuenta de cargo de la tarjeta es del directivo los pagos no justificados no serán reembolsados por la empresa. Pero si la cuenta de cargo es de la empresa y los cargos no se repercuten al directivo se habrá producido un beneficio para éste que resultará opaco para la Hacienda Pública.

Si el bien o servicio adquirido es para uso personal y el titular es el directivo, el cargo se producirá sobre unas cantidades que han pasado por nómina, han sufrido las correspondientes retenciones y se han integrado en la renta percibida por el directivo, sujeta a tributación por IRPF. En cambio, si el cargo se ha producido directamente en una cuenta de la empresa, el directivo habrá percibido una remuneración que será opaca para la Hacienda Pública. El mismo resultado puede obtenerse si el gasto personal es cargado en la cuenta del directivo y después es reembolsado íntegramente por la empresa. Si la cuantía de la cuota defraudada supera los ciento veinte mil euros podemos estar ante un delito fiscal.

Este medio de pago también puede escapar a los controles basados en la segregación de tareas. El directivo puede escoger al proveedor, acordar el alcance y el precio, aceptar la prestación, aprobar la factura y realizar el pago. Estas tareas acostumbran a estar segregadas en las empresas con el fin de evitar fraudes. El uso de la tarjeta corporativa por parte del directivo puede no estar sujeto a estos controles. En ciertos niveles, la factura presentada por el directivo no exige una aprobación adicional. El único control es cuantitativo, y consiste en establecer un tope anual para la tarjeta, que, en la práctica, puede ser superado.

Si sumamos la falta de control a la opacidad del medio de pago, el directivo puede disponer libremente de la tarjeta para usos personales o incluso para una finalidad similar a la de los famosos fondos reservados. El uso de este medio de pago podría ser utilizado entonces para agradecer a cargos públicos o clientes favores realizados o pendientes de realizar. En este caso podríamos estar ante un delito de corrupción pública o privada si las cantidades fuesen significativas.

Las empresas están actualmente en pleno proceso de transformación, adoptando los modelos de prevención y control exigidos en la reforma del Código Penal de 2010 y claramente definidos en el proyecto de reforma actual. En ellos se debe dotar de la máxima independencia al órgano individual o colegiado encargado de velar por el cumplimiento del modelo, con la difícil tarea de alertar del riesgo de incumplimiento de las normas de control a los propios directivos que las aprobaron.

La constante aparición en los medios de casos de corrupción y de comportamientos contrarios a la ética empresarial deberían provocar una aceleración en la tramitación de la nueva reforma con el fin de lanzar un mensaje al exterior y mejorar nuestra imagen como país en los mercados internacionales.

Aprobado el proyecto de ley que regulará el crowdfunding

El Consejo de Ministros de ayer aprobó la remisión a las Cortes Generales del Proyecto de Ley de Fomento de la Financiación Empresarial cuyo objetivo es mejorar los canales de financiación de las empresas, en especial, las pymes. Entre las novedades destaca la regulación de los instrumentos de financiación no bancarios como el denominado “crowdfunding“.

Alcance de la nueva regulación

El Proyecto de Ley establece un régimen jurídico para las plataformas de Internet que promueven la financiación participativa mediante préstamos o la emisión de acciones, obligaciones o participaciones de responsabilidad limitada. El objetivo es proporcionar un marco adecuado para el denominado “crowdfunding” con el objetivo de garantizar, de manera equilibrada, la correcta protección de los inversores y de impulsar, al mismo tiempo, esta nueva herramienta de financiación directa de proyectos empresariales en sus fases iniciales (startups).

Esta norma regula exclusivamente las operaciones de financiación participativa que busquen un rendimiento dinerario derivado de la financiación empresarial o de consumo, a diferencia de otros tipos de “crowdfunding” como son los vinculados al mecenazgo o la compraventa.

Supervisión y transparencia

La supervisión correrá a cargo de la Comisión Nacional del Mercado de Valores, con la implicación del Banco de España, cuando la actividad consista en la intermediación de préstamos. La transparencia es otra de las exigencias de la nueva regulación al garantizar que todos los inversores tengan acceso a información suficiente sobre aspectos como la propia plataforma, el promotor y las características del vehículo utilizado para captar la financiación, así como sobre todos los riesgos que implica la inversión en este tipo de proyectos.

Inversores acreditados y no acreditados

El Proyecto distingue entre inversores acreditados e inversores no acreditados. Los primeros son los institucionales, las empresas que superen determinados niveles de activo (un millón de euros), cifra de negocio (dos millones) o recursos propios (trescientos mil euros) y todas las personas físicas o jurídicas cuyos niveles de renta superen los cincuenta mil euros al año o tengan un patrimonio superior a cien mil euros y soliciten expresamente este tratamiento.

Los inversores acreditados podrán invertir sin límite mientras que los no acreditados (todos los demás), por su carácter minorista, tendrán límites anuales a la inversión (tres mil euros por proyecto y diez mil euros en el conjunto de plataformas) y deberán requerir la firma manuscrita por la que manifiestan, antes de adquirir ningún compromiso de pago, haber sido advertidos de los riesgos de este tipo de inversiones.

La norma que regula el uso del correo electrónico por los Magistrados y el nuevo criterio del Tribunal Supremo

El Código de Conducta para usuarios de equipos y sistemas informáticos al servicio de la Administración de Justicia, vigente en la actualidad, siempre ha sido una referencia a seguir en la redacción de este tipo de normas, dado el justo equilibrio que establece entre las exigencias de control del propietario de los recursos TIC y los derechos de los usuarios.

Este equilibrio es el que muchas empresas han introducido en sus normas internas, ya que coincide con la doctrina unificada y consolidada por el Tribunal Supremo y por el Tribunal Constitucional.

Sin embargo, la Sentencia del Tribunal Supremo de 16/06/14 ha introducido un nuevo criterio en relación al control e intervención del correo electrónico “no leído” de los trabajadores para su uso como prueba en un procedimiento penal.

Este nuevo criterio y los cambios que implica en las actividades de control de la empresa, puede entrar en conflicto con el Código de Conducta comentado, que, paradójicamente regula el uso del correo electrónico que utilizan los Magistrados, incluidos los del órgano que dictó la sentencia comentada.

Reproduzco los puntos principales de este Código de Conducta para que se pueda valorar si existe o no un conflicto y si deben confirmarse o no las tesis defendidas en mi anterior artículo a favor de mantener el criterio hasta ahora vigente, que es justamente el que aplica este Código de Conducta.

1. El primer apartado de esta Instrucción, dictada por el Pleno del Consejo General del Poder Judicial de 26 de febrero de 20013, establece que el Código de Conducta se aplicará a todos los profesionales que prestan sus servicios en los órganos judiciales, incluidos los Jueces, Magistrados y Secretarios Judiciales.

2. Los apartados 2.3 y 4.1 extienden la aplicación de esta norma al correo electrónico y a todas las comunicaciones realizadas a través de la red interna o Intranet, o de la red externa o Internet.

3. El apartado 9.1.1 establece que es facultad de la Administración Pública competente exigir un buen uso del correo electrónico, y añade que el correo electrónico, por ser un instrumento básico de trabajo y colaboración, propiedad de la Administración, debe ser utilizado con fines profesionales.

4. Apartado 9.1.2: Queda prohibida la utilización del correo electrónico para “actividades personales restringidas”, en las que pueda haber alguna expectativa de privacidad o secreto en las comunicaciones.

5. Apartado 9.1.3: En los casos en los que la Administración competente permita utilizar el correo electrónico puesto a disposición de cada usuario para “actividades personales no reservadas”, en las que no exista expectativa alguna de privacidad, tales como usos sociales individualizados, esta utilización deberá restringirse al máximo.

6. En el apartado 6.8.3 se establece que, en aquellos órganos judiciales donde se hubiere instaurado la figura del “monitor judicial” y sin perjuicio de lo dispuesto en el párrafo anterior, a aquél le corresponderá comprobar y supervisar el correcto funcionamiento de las aplicaciones informáticas, poniendo en conocimiento del Secretario Judicial las deficiencias que observare, proponiendo, en su caso, la adopción de las medidas que estime pertinentes.

7.Apartado 6.11.2: Si un usuario finaliza su relación con la Administración o se traslada de puesto, deberá dejar intactos todos los archivos y documentos que hayan tenido un fin profesional. En el supuesto de que existan archivos de carácter personal, él mismo deberá eliminarlos, bajo la supervisión del Servicio de Soporte competente.

8. Apartado 9.3: En el momento de la extinción de la relación funcionarial o laboral, se interrumpirá el acceso a su buzón de correo. Los servicios técnicos podrán acceder al buzón para reenviar los mensajes profesionales a los usuarios que se determinen por el administrador o responsable del Sistema. (Se entiende que los destinatarios del reenvío accederán a los mensajes leídos y no leídos y que la selección de los mensajes profesionales, descartando los mensajes personales, la realizarán los servicios técnicos sin intervención judicial).

Conclusiones

En mi opinión, el criterio establecido en esta Instrucción del Pleno del Consejo General del Poder Judicial, que coincide con la doctrina unificada y consolidada del Tribunal Supremo y del Tribunal Constitucional, debe prevalecer.

Los usos actuales de los sistemas informáticos en el seno de las empresas y de las Administraciones Públicas exigen la reinterpretación o la modificación del artículo 18.3 de la Constitución, estableciendo la posibilidad de que:

  • o bien el secreto de las comunicaciones no sea de aplicación a las comunicaciones estrictamente corporativas o profesionales en las que no haya expectativa de privacidad, por la prohibición de su uso personal,
  • o bien se incluya el consentimiento del usuario y la ley como circunstancias habilitantes para la injerencia en dicho derecho.

Pensemos que la Constitución data de 1978 y que los avances tecnológicos, sociales, laborales, e incluso penales nos han llevado a un escenario que nada tiene que ver con el de entonces.