#Compliance 01 – Cómo afecta la Circular 1/2016 de la Fiscalía a los programas de Compliance de las grandes empresas (I)

En mi opinión, la Circular 1/2016 de la Fiscalía General del Estado (FGE) debe ser utilizada a partir de ahora como un marco de referencia en la evaluación de los programas de compliance de las empresas españolas por varios motivos:

  1. Supone una guía de actuación para los más de 2.000 fiscales existentes en España según la Memoria de 2015.
  2. Contiene criterios uniformes que los fiscales deben aplicar en los procesos penales contra empresas.
  3. Es el único marco de referencia existente en la actualidad que interpreta la reforma del Código Penal de 2015 desde la óptica acusatoria.
  4. Es de gran utilidad para las empresas, ya que, además de ayudarles a conocer el “manual del adversario“, les permite adaptar sus modelos de compliance a los criterios que se aplicarían en una eventual imputación. En lenguaje de estudiantes: les permite saber las “preguntas del examen“.

Dejando para otro momento el apasionante debate que suscitan las cuestiones técnicas y procesales que la Circular analiza, voy a enunciar en esta primera entrega y en las sucesivas, los aspectos que, en mi opinión, más afectan a los modelos de organización y gestión de las grandes empresas.

Directivos con obligaciones de control

La Fiscalía entiende que se produce una ampliación del círculo de personas capacitadas para transferir la responsabilidad penal a la persona jurídica, y los divide en tres grupos:

  1. Los representantes legales.
  2. Las personas autorizadas a tomar decisiones en nombre de la empresa.
  3. Las personas que ostentan facultades de organización y control

El Compliance Officer quedaría integrado en esta tercera categoría, por lo que esta circunstancia deberá ser tenida en cuenta en el diseño y evaluación del modelo de compliance y de la estructura de control.

Beneficio directo o indirecto

La sustitución del término “provecho” por el de “beneficio directo o indirecto” permite extender la responsabilidad penal a las empresas que persigan:

  1. Beneficios a través de otras sociedades, entre las que, en mi opinión se incluirían los proveedores críticos.
  2. Beneficios consistentes en un ahorro de costes
  3. Beneficios estratégicos
  4. Beneficios intangibles
  5. Beneficios reputacionales

Esta interpretación confirma la tesis mantenida en nuestro curso de Compliance, en nuestra metodología y en nuestra aplicación informática, sobre la necesidad de identificar y mantener un control continuado sobre los proveedores considerados críticos en materia de compliance. Es decir, aquéllos que podrían cometer un delito en nombre y en beneficio de la empresa.

Ver siguiente entrega

Circular 1/2016, de 22 de enero, sobre la responsabilidad de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015

Acaba de publicarse la esperada Circular 1/2016 en la que la Fiscalía General del Estado interpreta la reforma del Código Penal de 2015 en relación a la responsabilidad penal de las personas jurídicas.

En los próximos días organizaremos un ciclo de reuniones y desayunos de trabajo para Compliance Officers con el fin de debatir sobre el contenido de la misma, y comparar los modelos de prevención y control establecidos en sus empresas con este nuevo marco de referencia a tener en cuenta.

Estrategias a seguir ante una mala práctica sectorial tolerada por la empresa

Una cuestión que todavía no está resuelta en el debate abierto sobre la responsabilidad del Compliance Officer y de los miembros del Comité de Compliance es cómo hay que actuar en el caso de comprobar la comisión de un delito continuado en la empresa que es conocido y tolerado por la alta dirección e incluso por el Consejo de Administración. Estas situaciones se producen habitualmente en sectores con malas prácticas consolidadas, en las que aplicar el código ético de manera individual supondría una gran desventaja competitiva para la empresa.

Lo correcto sería promover un plan de adecuación sectorial con una fecha tope a partir de la cual la empresa se desmarcaría de la mala práctica y denunciaría cualquier incumplimiento por parte de un competidor. Pero ello enfrentaría a la empresa con el resto del sector, por lo que esta estrategia no es habitual.

Cuando la empresa renuncia a esta posibilidad y continúa con la mala práctica, se origina un riesgo evidente de incumplimiento que puede generar responsabilidad para los órganos de administración y  de control que no se han opuesto a esta decisión. Pero el riesgo puede incrementarse si el incumplimiento persiste en el tiempo. En ese caso, se discute si es suficiente que el consejero o el compliance officer que se ha opuesto a la mala práctica reitere su oposición o si es necesario que vaya más allá con el fin de evitar una responsabilidad personal por omisión del deber de control o por encubrimiento.

Las posibles estrategias a seguir a partir de ese punto obligan a tomar decisiones incómodas y comprometidas.

Dada la importancia de este punto, la confusión existente en esta materia, la escasez de precedentes y la tendencia a postergar la toma de decisiones en esta materia, he preparado una infografía y un vídeo que analiza esta cuestión y se propone un árbol de decisiones.

Infografía

Vídeo

Ya que se trata de un tema muy sensible para las personas que se encuentran en esta posición, os ruego que si identificáis alguna opción que pueda completar el árbol de decisiones, me la comuniquéis, al objeto de incorporarla en próximas versiones.

Infografía – ¿Qué puede hacer el Compliance Officer cuando el Consejo de Administración tolera un delito continuado?

Análisis del árbol de decisiones que puede adoptar un Compliance Officer tras tener conocimiento de la existencia de un delito conocido y tolerado por el Consejo de Administración de la empresa, valorando su posible responsabilidad en cada una de dichas opciones.

INFOGRAFÍA Compliance Officer – Arbol de decisiones 01 (PDF)

Ver explicación en vídeo (Seis minutos)

Este es uno de los materiales que se entregan en el Curso de Compliance Officer – http://www.campusdecompliance.com

Compliance Officer - Arbol de decisiones 01

 

 

 

 

 

 

Decisiones a adoptar por el Compliance Officer tras el descubrimiento de un delito tolerado por la empresa

Análisis del árbol de decisiones que puede adoptar un Compliance Officer tras tener conocimiento de la existencia de un delito conocido y tolerado por el Consejo de Administración de la empresa, valorando su posible responsabilidad en cada una de dichas opciones. Vídeo de seis minutos.

Ver la explicación en forma de infografía

Partida de Compliance en el presupuesto de la empresa de 2016

Uno de los requisitos introducidos en la reforma del Código Penal de este año para poder acceder a la exención de la responsabilidad penal está relacionado con los recursos económicos que la empresa destina a la prevención y el control de delitos.

En este contexto, a continuación puede verse una relación de las partidas que convendría tener reflejadas, individualmente o de forma agrupada, en el presupuesto de la empresa de 2016.

1. Compliance

Una referencia al modelo de prevención y control constituye una prueba del esfuerzo realizado por la empresa para evitar la comisión de delitos. En esta partida entrarían los salarios de las personas destinadas a esta función, los honorarios de los abogados que asesoran a la empresa en esta materia, el mantenimiento del canal ético y los controles directamente relacionados con el modelo.

2. Controles

Es importante identificar las partidas que cada departamento o unidad de negocio destina a la prevención de riesgos laborales, infracciones de la normativa medioambiental, seguridad informática y cualquier otra medida que contribuya directa o indirectamente a la prevención de delitos. Merece especial atención la función de auditoría interna y el modelo de control de los recursos financieros, incluyendo la segregación de tareas, el circuito de aprobación de pagos, la matriz de poderes, las firmas mancomunadas y todas aquellas medidas destinadas a evitar un mal uso de la caja y los activos de la empresa. Estos controles estrictamente económicos, unidos a la eliminación del efectivo metálico, son de gran utilidad para prevenir la corrupción, el delito fiscal, los fraudes y los delitos que hacen un uso instrumental de la contabilidad.

3. Formación

En 2016 será necesario unificar el programa de formación de la empresa y destinar una partida presupuestaria a asegurar una cultura de cumplimiento en todos los niveles de la compañía, mediante cursos presenciales y online que suministren formación y sensibilización en materia de riesgos penales.

4. Software

Todos estos esfuerzos deberán coordinarse de forma centralizada y ejecutarse de manera descentralizada, lo cual exigirá disponer de aplicaciones adecuadas para realizar un seguimiento de los riesgos, los controles, las evidencias y las tareas a realizar por los responsables de control en cada departamento, empresa del grupo y filial. Sin olvidar el control de los proveedores.

Espero que esta lista sea útil para cuantificar la presencia del Compliance en el presupuesto de 2016, al tiempo que invito a visitar nuestro Portal de Compliance http://www.portaldecompliance.com para ampliar la información.

Caso Pfizer: notas para el análisis

El carácter insólito y la gravedad de la noticia aparecida ayer en Redacción Médica obliga a realizar una reflexión sobre puntos que han sido objeto de debate en todos los cursos de compliance que he impartido en los últimos meses. Por ello considero necesario relacionar las materias que puede suscitar este caso y que deberán ser objeto de un análisis jurídico posterior, por las enseñanzas que puede aportar para el diseño y la mejora  de programas de compliance en nuestro país. Esta relación de puntos a analizar se basa exclusivamente en las noticias aparecidas en los medios de comunicación, sin darlas por ciertas y sin que la valoración se refiera a ellas, sino a la problemática jurídica que subyace en ellas.

1. La infracción del código ético como causa de despido 

1.1 El código ético de una empresa multinacional acostumbra a tener una aplicación internacional, aunque se ha planteado en muchas ocasiones la necesidad de adecuarlo a la cultura y a las normas de cada país, con el fin de asegurar el cumplimiento de los requisitos de eficacia e idoneidad exigidos, en el caso de España, en la reforma del Código Penal de 2015.

1.2 El incumplimiento del código ético y las políticas de compliance ha sido utilizado con éxito como argumento de despido en varios casos, entre los que destaca el de una empresa del sector del automóvil, que despidió a un trabajador por vender coches adquiridos con un descuento especial a la compañía sin haber transcurrido el plazo mínimo establecido para poder venderlos.

1.3 La empresa que incumple su propio código ético no puede utilizarlo para despedir a los trabajadores que también lo incumplen. Así se estableció una sentencia que afectaba a una mutua que debía más de 42 millones a la Seguridad Social.

1.4 También existe al menos una sentencia que declara improcedente un despido basado en el incumplimiento de un código ético que estaba escrito en inglés, idioma desconocido por el trabajador despedido.

2. Ventajas y desventajas de los canales éticos gestionados por la matriz

2.1 La comunicación de un riesgo o de un incumplimiento a través del canal ético gestionado por la empresa matriz permite que su investigación y deliberación escape a posibles presiones o frenos que pueden surgir en la sede local. Ello asegura la independencia, la objetividad y la no contaminación del equipo investigador, al tiempo que evita filtraciones.

2.2 Por contra, existe el riesgo de escalar a nivel internacional un conflicto que puede ser resuelto de manera más discreta y con menor impacto reputacional en sede local. También existe la posibilidad de que la distancia geográfica haga que la investigación no sea suficientemente profunda y adolezca de un escaso conocimiento de la filial y de la autoría de los hechos investigados.

3. Pruebas basadas en conversaciones telefónicas y correo electrónico

Antes de realizar una investigación debe analizarse la legislación y la doctrina jurisprudencial del país en el que se ha producido la presunta infracción. Este análisis debe tener en cuenta el contenido de la normas de uso de los recursos TIC de la filial, el nivel de advertencia sobre una posible monitorización, la existencia de una sospecha razonable, el juicio de proporcionalidad y, en su caso, el secreto de las comunicaciones.

4. Responsabilidad por conocer una infracción y no denunciarla

Debe analizarse caso por caso la responsabilidad interna y externa de las personas que pueden aparecer copiadas en los mensajes de correo electrónico investigados. En función de la gravedad de la infracción deberá valorarse las consecuencias de una eventual tolerancia dolosa, o del simple conocimiento del incumplimiento. También deberá valorarse la actividad desarrollada a partir del momento en que se conoce la infracción. Si la persona copiada ocupaba una posición de garante y tenía la obligación de impedir la infracción, la responsabilidad derivada del conocimiento de la misma será mayor.

5. Responsabilidad del Compliance Officer

El hecho de que entre los directivos despedidos figuren, según la noticia comentada, personas asociadas a la función de compliance pone de nuevo sobre la mesa el debate sobre la responsabilidad del Compliance Officer. Para la valoración de este extremo deberá tenerse en cuenta lo dicho en el punto anterior en relación al nivel de conocimiento de la presunta infracción y la existencia o no de una obligación de impedirla.

6. Cambio cultural

Los casos relacionados con el compliance que llegan a los medios de comunicación pueden ser una fuente de conocimiento que no debe ser desaprovechada para mejorar el modelo de gestión, prevención y control de riesgos legales en las empresas. Cada noticia puede ser un indicador de que el negocio sigue estando por encima de la ley en las prioridades de la empresas o una prueba de que estamos asistiendo a un importante cambio cultural que va a provocar un nuevo orden en esas prioridades.

Nuevo Campus de Compliance

Me es grato anunciar que ya está operativo nuestro Campus de Compliance.

http://www.campusdecompliance.com

En este campus se concentrará toda la oferta formativa de nuestro despacho, que se divide en tres grandes áreas:

1. Formación para Compliance Officer
2. Formación para empresas – Sensibilización de trabajadores
3. Formación para despachos de abogados

Esta disponible la versión demo de un curso de sensibilización de todos los niveles de una empresa en materia de prevención de riesgos penales y divulgación del código ético. Este curso es muy importante para crear una prueba del esfuerzo preventivo realizado por la empresa, que ayude a conseguir la exención de la responsabilidad penal.

Entrada en vigor de la reforma del Código Penal – Acciones a realizar

Hoy entra en vigor la reforma del Código Penal, que establece los requisitos a cumplir para que una empresa pueda acceder a la exención de la responsabilidad penal.

De forma telegráfica resumo las acciones que recomiendo realizar en el caso de que todavía no se hayan ejecutado.

1. Aprobar una política que describa el modelo de prevención y control de la empresa.
2. Nombrar un Comité de Compliance basado en un modelo de control descentralizado.
3. Identificar el riesgo de delito en cada departamento a través del correpondiente mapa de riesgos.
4. Definir y aplicar un protocolo de toma de decisiones
5. Definir y aplicar un modelo de gestión de los recursos financieros orientado al compliance.
6. Crear, mantener y promocionar adecuadamente el canal ético de la empresa.
7. Establecer un sistema disciplinario que tenga en cuenta los cortos plazos de prescripción de las infracciones en los convenios
8. Programar una verificación periódica del funcionamiento y el cumplimiento del modelo de prevención y control.

Adicionalmente, y con el fin de cumplir los requisitos de antelación, eficacia, idoneidad y prueba, se recomienda realizar las siguientes acciones:

1. Completar el código ético con escenarios de riesgo y prohibiciones idóneas para todos los riesgos previstos en el mapa de riesgos.
2. Completar el modelo de prevención y control con controles idóneos para todos los riesgos previstos en el mapa de riesgos.
3. Obtener evidencias cronológicas de la existencia y la eficacia de los controles.
4. Conservar las evidencias de los controles en un repositorio que de fe de su antigüedad.

Una oportunidad para compartir o limitar la responsabilidad del Compliance Officer

El pasado 3 de junio se publicó en el Boletín Oficial del Senado el Proyecto de Ley de Auditoría de Cuentas, que extiende la obligación de disponer de una Comisión de Auditoría a las empresas cuyo importe neto de la cifra de negocios de más de 200 millones de euros o tengan más de 1.000 empleados.

La Comisión de Auditoría de estas empresas deberá tener la composición y las funciones contempladas en el artículo 529 quaterdecies del Texto Refundido de la Ley de Sociedades de Capital.

Esta comisión puede compartir o llegar a sustituir las funciones y responsabilidades del Compliance Officer o del Comité de Compliance en su caso, ya que es el órgano al que se refiere alternativamente el artículo 31 bis del Código Penal cuando habla del órgano que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.

Composición de la Comisión de Auditoría

La comisión de auditoría estará compuesta exclusivamente por consejeros no ejecutivos nombrados por el consejo de administración, la mayoría de los cuales, al menos, deberán ser consejeros independientes y uno de ellos será designado teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o en ambas. En su conjunto, los miembros de la comisión tendrán los conocimientos técnicos pertinentes en relación con el sector de actividad al que pertenezca la entidad auditada.

Funciones de la Comisión de Auditoría

Sin perjuicio de las demás funciones que le atribuyan los estatutos sociales o de conformidad con ellos, el reglamento del Consejo de Administración, la Comisión de Auditoría tendrá, como mínimo, una serie de funciones, entre las que destaca la de supervisar la eficacia del control interno de la sociedad, la auditoría interna y los sistemas de gestión de riesgos.

En las entidades a que dispongan de un órgano con funciones equivalentes a las de la Comisión de Auditoría, que se haya establecido y opere conforme a su normativa aplicable, las funciones de la Comisión de Auditoría serán asumidas por el citado órgano, debiendo dichas entidades hacer público en su página web el órgano encargado de esas funciones y su composición. Este órgano podría ser el Comité de Compliance o el Compliance Officer. La dificultad de que una sola persona asuma estas funciones confirma una vez más la recomendación de que se trate de un órgano colegiado.

Empresas que estarán obligadas a tener Comisión de Auditoría

Están obligadas a tener Comisión de Auditoría las entidades de interés público. El artículo 3.5.b del proyecto establece que tendrán la consideración de entidades de interés público las que se determinen reglamentariamente en atención a su importancia pública significativa por la naturaleza de su actividad, por su tamaño o por su número de empleados.

Hasta el momento en que se produzca el desarrollo reglamentario de la futura Ley de Auditoría de Cuentas, el actual Reglamento del texto refundido de la Ley de Auditoría de Cuentas atribuye la consideración de entidades de interés público a las empresas cuyo importe neto de la cifra de negocios o plantilla media durante dos ejercicios consecutivos, a la fecha de cierre de cada uno de ellos, sea superior a 200.000.000 de euros o a 1.000 empleados, respectivamente. ACTUALIZACIÓN: la propuesta del Gobierno consiste en que estos umbrales pasen a 2.000 millones y 4.000 empleados.

Cómo quedará configurada la responsabilidad del Compliance Officer

Con la entrada en vigor de la nueva Ley de Auditoría de Cuentas las empresas podrán optar por las siguientes alternativas:

1. Asignar la función de supervisión del modelo de prevención y control de delitos (Programa de Compliance) exclusivamente a la Comisión de Auditoría, por ser el órgano que tiene encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica, de acuerdo con lo establecido en el artículo 31 bis del Código Penal y la Ley de Sociedades de Capital. Ello sin perjuicio de que la Comisión de Auditoría delegue funciones de supervisión y control en el Comité de Compliance o en el Compliance Officer en su caso.

2. Asignar al Comité de Compliance las funciones establecidas legalmente a la Comisión de Auditoría. En tal caso, el Comité de Compliance deberá operar conforme a lo establecido en la Ley de Auditoría de Cuentas, en la Ley de Sociedades de Capital y en el artículo 31 bis del Código Penal de forma acumulativa. La empresa deberá hacer público en su página web el órgano encargado de estas funciones y su composición.

3. Repartir las funciones de supervisión y control entre la Comisión de Auditoría y el Comité de Compliance. Esta sería la opción más recomendable según mi opinión, ya que de esta manera se produciría una especialización en la función de control, financiero y contable en el primer caso, y relativo a los riesgos penales en el segundo.

Conclusiones

La extensión de la obligación de disponer de Comisión de Auditoría a las sociedades no cotizadas que cumplan los requisitos cuantitativos comentados abre la posibilidad de compartir o concentrar la función de supervisión y control en un órgano superior, formado, (por razones de independencia) por consejeros no ejecutivos. Ello será especialmente relevante en el momento de depurar responsabilidades por la existencia de un déficit de control en la sociedad, dado que los consejeros ya tienen en la actualidad una potencial responsabilidad penal por la vía del artículo 31 y el Compliance Officer, o el Comité de Compliance en su caso, no debería responder de un entorno de control diseñado por el Consejo de Administración.