ISO 37001 – 01 Datos estadísticos de la corrupción en España

Primera entrega de la presentación que realicé el 12 de enero de 2017, en el primer acto de celebración de mis 30 años de especialización.

Deseo expresar mi más sincero agradecimiento a las más de cien personas que asistieron a este acto y a todos los que me han apoyado durante estos 30 años.

La presentación versa sobre la ISO 37001 y el sistema de gestión anticorrupción que permite a una empresa integrar medidas de prevención de la corrupción en el marco de un programa de compliance. Se muestran ejemplos de cómo gestionar las medidas anticorrupción mediante el uso de la aplicación Compliance 3.0 desarrollada por Ribas y Asociados.

ACTUALIZACIÓN – Nuevos datos de Transparencia Internacional sobre la percepción de la corrupción en 2016: https://xribas.com/2017/01/25/publicado-el-indice-de-percepcion-de-la-corrupcion-de-2016/

El Ibex aprueba “por los pelos” en el alcance de sus códigos éticos

Expansión dedica hoy una página a nuestro análisis de los códigos éticos de las empresas del Ibex 35, con un artículo de Almudena Vigil que resume las principales conclusiones del estudio.

Estudio completo 2016

Estudio completo 2015

Gráfico comparativo de Expansión relativo al estudio de 2015

Análisis de los códigos éticos del IBEX 35 – 2016

Nuestro despacho publica hoy el estudio titulado “Códigos éticos y líneas rojas penales 2016” en el que analizamos el alcance de los códigos éticos de cada empresa y el lugar en el que colocan las líneas rojas relativas a los principales delitos económicos las empresas del Ibex 35.

Estudio completo 2016

Estudio completo 2015

 

¿Qué es la cultura de cumplimiento, cómo se mide y cómo se acredita?

Un punto en el que coinciden la Circular 1/2016 de la Fiscalía General del Estado y el obiter dicta de la Sentencia del Tribunal Supremo de 29 de febrero de 2016 es el de la cultura de cumplimiento que debe existir en la empresa para que ésta pueda acceder a la exención de la responsabilidad penal.

Es cierto que este concepto es indeterminado, no está incluido en el artículo 31 bis del Código Penal, ni constituye un elemento adicional del tipo objetivo, como bien se señala en uno de los votos particulares de la Sentencia, pero es un requisito mencionado de forma recurrente por la doctrina internacional y en los marcos de referencia en materia de compliance. Lo más importante es que se trata de un atributo que van a tener en cuenta los fiscales y los jueces en el momento de valorar los programas de compliance y el esfuerzo realizado en materia de prevención y control por las empresas investigadas a partir de ahora.

Por ello es necesario intentar determinar el contenido y el alcance teórico y práctico de este concepto, con el fin de estar en condiciones de poder comprobar si una empresa cumple o no el requisito de disponer de una cultura de cumplimiento.

 

¿Cómo se manifiesta la cultura de cumplimiento?

La Circular de la Fiscalía establece que los modelos de organización y gestión no sólo tienen por objeto evitar la sanción penal de la empresa sino también promover una verdadera cultura ética empresarial. La clave para valorar su verdadera eficacia no radica tanto en la existencia del programa de prevención sino en la importancia que tiene éste en la toma de decisiones de los directivos y los subordinados de la empresa y en qué medida es una verdadera expresión de su cultura de cumplimiento. La Circular añade que este criterio general deberá ser tenido en cuenta al valorar los modelos de organización y gestión con el fin de determinar si, más allá de su conformidad formal con las condiciones y requisitos que establece el artículo 31 bis del Código Penal, expresan un compromiso corporativo que realmente disuada de conductas criminales.

Analizando la Circular de la Fiscalía podemos obtener varias pistas que indicarían la existencia de una cultura de cumplimiento. Por ejemplo:

  1. El cumplimiento de la Ley es la regla general en la empresa y la comisión de un delito es un acontecimiento accidental.
  2. El cumplimiento normativo está siempre por delante del negocio.
  3. El proceso de toma de decisiones en todos los niveles de la empresa está orientado al cumplimiento.
  4. Los directivos promueven con su ejemplo una verdadera cultura de cumplimiento.
  5. Existe un compromiso inequívoco de la alta dirección de la empresa para evitar la comisión de delitos y un apoyo claro al programa de compliance.
  6. El comportamiento y la implicación del Consejo de Administración y de los principales ejecutivos traslada una cultura de cumplimiento al resto de la compañía.
  7. No existe hostilidad de los directivos hacia los programas de compliance.
  8. Los mensajes de los directivos en esta materia son claros e inequívocos y no denotan ambigüedad ni indiferencia.
  9. No existe apetito de riesgo.
  10. No hay ninguna conducta de los directivos que permita a los subordinados interpretar que vale la pena asumir el riesgo del incumplimiento a cambio del mayor beneficio económico que se puede obtener.
  11. Los principales responsables de la empresa no incumplen el modelo de prevención y control.
  12. Los directivos no recompensan ni incentivan, directa o indirectamente, el incumplimiento del modelo de organización y prevención.
  13. El descubrimiento de los incumplimientos se produce internamente, por la propia empresa, y el infractor es inmediatamente sancionado, sin que se produzcan casos de tolerancia.
  14. La tolerancia cero se aplica en todos los incumplimientos, tanto de los subordinados como de los directivos.

En la Sentencia del Tribunal Supremo encontramos también varias referencias a la cultura de cumplimiento, aunque en este caso se alterna con la cultura de control, que es diferente:

  1. La cultura de respeto al Derecho debe ser una fuente de inspiración de la actuación en todos los niveles de la empresa.
  2. Debe manifestarse en formas concretas de vigilancia y control del comportamiento de los directivos y de los subordinados jerárquicos con el fin de evitar la comisión de delitos.
  3. Debe acreditarse con la existencia de instrumentos adecuados y eficaces de prevención del delito en el seno de la persona jurídica.

 

¿Cómo se mide la cultura de cumplimiento?

Tanto la Circular como la Sentencia se refieren a elementos intangibles que son difíciles de apreciar y de medir. Medir la cultura de cumplimiento de una empresa es tan difícil como medir la felicidad de sus trabajadores. Depende de criterios subjetivos y no existe una unidad de medida estándar que podamos utilizar en sucesivas valoraciones con el fin de monitorizar su evolución.

A pesar de estas dificultades, y siguiendo la teoría de que todo se puede medir, vamos a intentar identificar algunos valores cualitativos y cuantitativos que podemos utilizar como indicadores, evidencias, y en algunos casos simples indicios, que nos ayudarán a valorar si existe realmente una cultura de cumplimiento en la empresa.

Entre dichos indicadores destacaríamos los siguientes:

  1. Número de cursos presenciales realizados (En prevención de la culpa in instruendo mencionada en la Sentencia).
  2. Número de cursos de e-learning realizados.
  3. Número de campañas de divulgación del código ético realizadas.
  4. Número de campañas de sensibilización realizadas.
  5. Número de cursos de refuerzo en el caso de los delitos que pueden ser cometidos de forma imprudente.
  6. Número de evaluaciones realizadas para comprobar la cultura de los directivos y los subordinados en materia de compliance y principios éticos.
  7. Resultados comparativos de las evaluaciones a lo largo del tiempo.
  8. Número de actas del Consejo de Administración en las que consta la aplicación del protocolo de toma de decisiones.
  9. Número de premios o bonus otorgados por buenas prácticas en materia de compliance.
  10. Número de consultas formuladas al canal ético o al Compliance Officer.
  11. Número de denuncias de incumplimiento recibidas a través del canal ético.
  12. Número de sanciones impuestas por incumplimiento del código ético o de las obligaciones que derivan de él.
  13. Ratio de conversión de denuncias en sanciones en general.
  14. Ratio de conversión de denuncias en sanciones en el caso de directivos.
  15. Ratio que indique la proporción entre el número de infracciones descubiertas de manera interna y de manera externa.
  16. Tiempo medio transcurrido entre el momento del descubrimiento de la infracción y el momento de la sanción.
  17. Número de controles establecidos en la empresa.
  18. Número de evidencias de la existencia, la idoneidad y la eficacia de cada control.

Cabe citar, en materia de indicadores, el ejemplo de un Compliance Officer que, en un congreso de compliance organizado por Aranzadi, presentó como un indicio de la existencia de una cultura de cumplimiento, la llamada de un directivo consultando si podía aceptar la invitación a un partido de fútbol que le habían hecho.

 

¿Cómo se acredita la cultura de cumplimiento?

En los años 80 Carlos D. Regueira publicó el libro ¡Dígalo con sanciones! en el que concluía que la manera más eficaz de transmitir un mensaje y conseguir una disciplina de cumplimiento es a través de la sanción reiterada de las infracciones.

También ha habido Magistrados que han adelantado que será difícil apreciar la eficacia de un modelo de prevención y control si no hay sanciones que castiguen su incumplimiento.

Por lo tanto, todo parece indicar que la sanción será uno de los instrumentos más eficaces para acreditar la cultura de cumplimiento en una empresa. Aunque es evidente que un número elevado de sanciones también pueden sugerir lo contrario, por lo que deberá distinguirse entre los esfuerzos realizados por la empresa para conseguir una cultura de cumplimiento y los resultados de estos esfuerzos. Es decir, la consecución del objetivo de implantar dicha cultura, medible a través del comportamiento diario de las personas integradas en todos los niveles de la empresa.

Sin embargo, la formación orientada a crear una cultura de cumplimiento, las campañas de sensibilización y los esfuerzos realizados por la empresa para divulgar y hacer cumplir el contenido del código ético también son pruebas decisivas. En este sentido cabe resaltar la importancia del e-learning como sistema de formación que permite llegar a todos los centros de trabajo de una empresa de manera rápida y económica, además de permitir la trazabilidad electrónica de la actividad formativa y el sellado de tiempo de las listas de alumnos que han finalizado el curso.

Si revisamos la lista de indicadores del punto anterior, identificaremos muchas pruebas que una empresa puede recopilar para demostrar su compromiso con el cumplimiento normativo. Entre ellas destacan las siguientes:

  1. Código ético.
  2. Política de prevención y control.
  3. Mapa de riesgos.
  4. Mapa de controles
  5. Protocolo de toma de decisiones.
  6. Modelo de gestión de los recursos financieros.
  7. Sistema disciplinario.
  8. Canal ético.
  9. Estructura de control.
  10. Repositorio de evidencias.
  11. Actas del Consejo de Administración.
  12. Política de bonus.
  13. Bonus otorgados por buenas prácticas en materia de compliance.
  14. Consultas formuladas al canal ético o al Compliance Officer.
  15. Denuncias de incumplimiento a través del canal ético.
  16. Sanciones impuestas por incumplimiento del modelo.
  17. Evidencias de de la existencia, la idoneidad y la eficacia cada control.
  18. Cursos presenciales realizados.
  19. Cursos de e-learning realizados.
  20. Campus de compliance interno o externo.
  21. Campañas de sensibilización realizadas.
  22. Cursos de refuerzo realizados en el caso de los delitos que pueden ser cometidos de forma imprudente.
  23. Evaluaciones realizadas para comprobar la cultura de los directivos y los subordinados en materia de compliance y principios éticos.
  24. Resultados comparativos de las evaluaciones a lo largo del tiempo.

En uno de los votos particulares de la Sentencia del Tribunal Supremo se manifiesta que la carga de la prueba de que no existe una cultura de cumplimiento en la empresa corresponde a la acusación. Esta cuestión forma parte de un debate doctrinal que, debido a su interés, merece un análisis más detallado en otro artículo. En cualquier caso, y aplicando un criterio de prudencia empresarial, nuestra recomendación siempre ha sido la preconstitución de la prueba, mediante recopilación de las evidencias que demuestren el esfuerzo realizado para crear una verdadera cultura de cumplimiento en la empresa y los resultados de dicho esfuerzo.

Por lo tanto, estas pruebas se dividirán en dos grupos:

  1. Las pruebas que acreditan el esfuerzo de la empresa para crear la cultura de cumplimiento.
  2. Las pruebas que acreditan la existencia de la cultura de cumplimiento.

En su artículo Algunos hombres malos, Manuel Conthe explica la diferencia entre la cultura escrita y la cultura real de una empresa y se refiere a los esfuerzos realizados por SAC Capital para crear una apariencia de compliance cuando en realidad su modelo de negocio se basaba en la obtención de información privilegiada, como así reconoció.

En nuestro país, el legislador, la Fiscalía y el Tribunal Supremo coinciden en que los modelos de compliance deberán ir mucho más allá del cartón piedra y la prueba de que este objetivo se ha conseguido será clave para muchas empresas en los próximos años.

 

11ª Edición del Curso de Compliance Officer presencial intensivo (2 días)

Tengo el placer de anunciar que ya hemos llegado a la 11ª edición del Curso de Compliance Officer presencial intensivo, que tendrá lugar en nuestras oficinas en Diagonal 640 1C de Barcelona los próximos días 31 de marzo y 1 de abril.

La principal novedad de esta convocatoria es que analizaremos a fondo la Circular 1/2016 de la Fiscalía General del Estado que interpreta la reforma del Código Penal de 2015, y la Sentencia del Tribunal Supremo de 29 de febrero de 2016.

Ello nos permitirá definir con más precisión la metodología a seguir para realizar la función de compliance de manera eficaz y abordar con mayor énfasis los siguientes puntos:

  1. Directivos con obligaciones de control
  2. Responsabilidad penal de los directivos
  3. Responsabilidad penal del Compliance Officer
  4. Independencia del Compliance Officer
  5. Beneficio directo o indirecto
  6. Prevención de conductas imprudentes
  7. Ampliación del perímetro de control
  8. Requisitos clave del modelo de organización y gestión
  9. Valoración y prueba de la idoneidad de un programa de compliance
  10. Valoración y prueba de la eficacia de un programa de compliance
  11. Gestión de los criterios de la Fiscalía en los programas de Compliance

Si deseas que te enviemos el programa, te ruego que nos lo comuniques enviando un mensaje a esta dirección: marc.casado@ribastic.com

Muchas gracias.

Caso Pfizer: notas para el análisis

El carácter insólito y la gravedad de la noticia aparecida ayer en Redacción Médica obliga a realizar una reflexión sobre puntos que han sido objeto de debate en todos los cursos de compliance que he impartido en los últimos meses. Por ello considero necesario relacionar las materias que puede suscitar este caso y que deberán ser objeto de un análisis jurídico posterior, por las enseñanzas que puede aportar para el diseño y la mejora  de programas de compliance en nuestro país. Esta relación de puntos a analizar se basa exclusivamente en las noticias aparecidas en los medios de comunicación, sin darlas por ciertas y sin que la valoración se refiera a ellas, sino a la problemática jurídica que subyace en ellas.

1. La infracción del código ético como causa de despido 

1.1 El código ético de una empresa multinacional acostumbra a tener una aplicación internacional, aunque se ha planteado en muchas ocasiones la necesidad de adecuarlo a la cultura y a las normas de cada país, con el fin de asegurar el cumplimiento de los requisitos de eficacia e idoneidad exigidos, en el caso de España, en la reforma del Código Penal de 2015.

1.2 El incumplimiento del código ético y las políticas de compliance ha sido utilizado con éxito como argumento de despido en varios casos, entre los que destaca el de una empresa del sector del automóvil, que despidió a un trabajador por vender coches adquiridos con un descuento especial a la compañía sin haber transcurrido el plazo mínimo establecido para poder venderlos.

1.3 La empresa que incumple su propio código ético no puede utilizarlo para despedir a los trabajadores que también lo incumplen. Así se estableció una sentencia que afectaba a una mutua que debía más de 42 millones a la Seguridad Social.

1.4 También existe al menos una sentencia que declara improcedente un despido basado en el incumplimiento de un código ético que estaba escrito en inglés, idioma desconocido por el trabajador despedido.

2. Ventajas y desventajas de los canales éticos gestionados por la matriz

2.1 La comunicación de un riesgo o de un incumplimiento a través del canal ético gestionado por la empresa matriz permite que su investigación y deliberación escape a posibles presiones o frenos que pueden surgir en la sede local. Ello asegura la independencia, la objetividad y la no contaminación del equipo investigador, al tiempo que evita filtraciones.

2.2 Por contra, existe el riesgo de escalar a nivel internacional un conflicto que puede ser resuelto de manera más discreta y con menor impacto reputacional en sede local. También existe la posibilidad de que la distancia geográfica haga que la investigación no sea suficientemente profunda y adolezca de un escaso conocimiento de la filial y de la autoría de los hechos investigados.

3. Pruebas basadas en conversaciones telefónicas y correo electrónico

Antes de realizar una investigación debe analizarse la legislación y la doctrina jurisprudencial del país en el que se ha producido la presunta infracción. Este análisis debe tener en cuenta el contenido de la normas de uso de los recursos TIC de la filial, el nivel de advertencia sobre una posible monitorización, la existencia de una sospecha razonable, el juicio de proporcionalidad y, en su caso, el secreto de las comunicaciones.

4. Responsabilidad por conocer una infracción y no denunciarla

Debe analizarse caso por caso la responsabilidad interna y externa de las personas que pueden aparecer copiadas en los mensajes de correo electrónico investigados. En función de la gravedad de la infracción deberá valorarse las consecuencias de una eventual tolerancia dolosa, o del simple conocimiento del incumplimiento. También deberá valorarse la actividad desarrollada a partir del momento en que se conoce la infracción. Si la persona copiada ocupaba una posición de garante y tenía la obligación de impedir la infracción, la responsabilidad derivada del conocimiento de la misma será mayor.

5. Responsabilidad del Compliance Officer

El hecho de que entre los directivos despedidos figuren, según la noticia comentada, personas asociadas a la función de compliance pone de nuevo sobre la mesa el debate sobre la responsabilidad del Compliance Officer. Para la valoración de este extremo deberá tenerse en cuenta lo dicho en el punto anterior en relación al nivel de conocimiento de la presunta infracción y la existencia o no de una obligación de impedirla.

6. Cambio cultural

Los casos relacionados con el compliance que llegan a los medios de comunicación pueden ser una fuente de conocimiento que no debe ser desaprovechada para mejorar el modelo de gestión, prevención y control de riesgos legales en las empresas. Cada noticia puede ser un indicador de que el negocio sigue estando por encima de la ley en las prioridades de la empresas o una prueba de que estamos asistiendo a un importante cambio cultural que va a provocar un nuevo orden en esas prioridades.

El periodo medio de pago de las grandes empresas a sus proveedores será valorado en los concursos públicos

El BOE de ayer publicó el Real Decreto-Ley 10/2015 que, entre las medidas de estímulo a la economía, incluye la modificación del artículo 75.1 del texto refundido de la Ley de Contratos del Sector Público, añadiendo un nuevo medio para acreditar la solvencia económica y financiera de las empresas que se presenten a un concurso público.

Este medio adicional consiste en que el órgano de contratación podrá exigir que el periodo medio de pago a proveedores del empresario, siempre que se trate de una sociedad que no pueda presentar cuenta de pérdidas y ganancias abreviada, no supere el límite que a estos efectos se establezca por Orden del Ministro de Hacienda y Administraciones Públicas teniendo en cuenta la normativa sobre morosidad.

Los medios para acreditar la solvencia económica y financiera en los concursos públicos serán, a partir de ahora, los siguientes:

  1. Volumen anual de negocios
  2. Seguro de responsabilidad civil
  3. Patrimonio neto
  4. Periodo medio de pago a proveedores

Las empresas afectadas por este nuevo requisito para contratar con el Sector Público son aquéllas que no pueden formular cuenta de pérdidas y ganancias abreviada, es decir, las que, de acuerdo con el artículo 258 actual de la Ley de Sociedades de Capital, cumplan dos de las circunstancias siguientes:

  1. Activo superior los 11,4 millones de euros.
  2. Importe neto de su cifra anual de negocios superior los 22,8 millones.
  3. Número medio de trabajadores superior a 250.

La normativa sobre morosidad establece el periodo medio de pago a proveedores en un límite de 60 días, aunque se entiende que la Orden Ministerial prevista podría establecer un plazo diferente para el supuesto específico de la valoración de este requisito en un concurso público.

Según la Plataforma Multisectorial contra la Morosidad el periodo medio de pago a proveedores de las compañías del IBEX 35 es de 169 días, por lo que estas empresas serán las más afectadas por este cambio legislativo.

Uno de los principales motivos para iniciar un programa de compliance penal es el riesgo de que la empresa no pueda contratar con el Sector Público si es condenada por un delito cometido por sus trabajadores a causa de un déficit de control. Este riesgo puede llegar a materializarse de una forma mucho más fácil y probable si la empresa no es diligente en el pago a sus proveedores.

Nuevo Campus de Compliance

Me es grato anunciar que ya está operativo nuestro Campus de Compliance.

http://www.campusdecompliance.com

En este campus se concentrará toda la oferta formativa de nuestro despacho, que se divide en tres grandes áreas:

1. Formación para Compliance Officer
2. Formación para empresas – Sensibilización de trabajadores
3. Formación para despachos de abogados

Esta disponible la versión demo de un curso de sensibilización de todos los niveles de una empresa en materia de prevención de riesgos penales y divulgación del código ético. Este curso es muy importante para crear una prueba del esfuerzo preventivo realizado por la empresa, que ayude a conseguir la exención de la responsabilidad penal.

El auditor corrupto

La independencia del auditor está ampliamente regulada en la legislación nacional e internacional y la nueva Ley de Auditoría de Cuentas ha reforzado las obligaciones del auditor en esta materia.

La cuestión que se plantea es si las acciones u omisiones de un auditor, o de una sociedad de auditoría, en el ejercicio de su función de revisión y verificación de las cuentas anuales y los estados financieros de una compañía, pueden llegar a tener trascendencia penal en los supuestos de máxima gravedad.

Hasta ahora, la actividad de los auditores incursos en un procedimiento penal se ha asociado a los delitos de falseamiento de cuentas anuales y de información financiera. La decisión del legislador y del juzgador de sancionar penalmente estas conductas estaría justificada en este caso por la frustración de la confianza del mercado en el informe del auditor sobre la fiabilidad de las cuentas revisadas y el perjuicio causado a los accionistas, proveedores, clientes y demás grupos de interés que confiaron en dicho informe.

Pero el falseamiento de las cuentas anuales y de la información financiera puede ser solamente la consecuencia o el síntoma de una enfermedad más grave: la pérdida de la independencia del auditor causada por el desequilibrio entre la facturación de los servicios de auditoría y los restantes servicios de consultoría y asesoramiento contratados por la compañía auditada.

En los supuestos de máxima gravedad, en los que la sociedad de auditoría ha perdido la capacidad de resistir la presión del cliente para emitir un informe favorable, que oculte la situación real de la empresa, el análisis de la actividad de la sociedad de auditoría debería extenderse a los ingresos obtenidos por servicios distintos a los de auditoría contable.

Es evidente que la pérdida de esos ingresos puede condicionar la opinión del auditor cuando su cuantía es muy superior a los ingresos percibidos por los servicios de auditoría. Esta situación podría llegar a crear una transacción de facto, en el que la partida sería el mantenimiento de unos importantes ingresos por servicios “non-audit” y la contrapartida sería una interpretación más laxa de los criterios contables aplicados por el cliente. La prestación de las dos categorías de servicios por sociedades distintas sería absolutamente irrelevante en el caso de confirmarse la falta de independencia y su influencia final en el informe del auditor.

Si se considerase que la contratación de servicios distintos a los de auditoría se ha convertido, en la práctica, en una contrapartida a la emisión de un informe favorable al cliente, la actividad de la sociedad auditora podría quedar subsumida en el tipo penal del delito de corrupción en los negocios, que tiene asignadas unas penas superiores a las del delito de falseamiento de cuentas, tanto para las personas físicas y como para las jurídicas.

Sería lógico en este caso, por una cuestión ética y estética, que en la oferta de servicios de la firma no figurasen los de “compliance” o cumplimiento normativo, y mucho menos los de formación en esta materia.

 

Nuevo curso de Compliance Officer de Aranzadi y Ribas y Asociados

Como resultado de un acuerdo de colaboración alcanzado con Thomson Reuters Aranzadi, y con el aval de la Universidad CEU San Pablo, se iniciará en el mes de septiembre un nuevo curso online de Compliance Officer de 200 horas, adaptado a la reforma del Código Penal de este año.

El curso constará de dos partes:

PARTE I – Metodología
PARTE II – Delitos, riesgos y controles

El programa se puede descargar a través de este enlace:

Descargar el programa del curso