#Compliance 02 – Cómo afecta la Circular 1/2016 de la Fiscalía a los programas de Compliance de las grandes empresas (II)

Sigue de la entrega anterior

Responsabilidad penal de los directivos

En la Circular se indica que la nueva exigencia de que el incumplimiento del deber de control haya sido grave determina que, junto a la empresa, el directivo que omite el control también puede responder por un delito, bien doloso, en comisión por omisión, bien gravemente imprudente, lo que traslada la conducta de los directivos con obligaciones de control.

De esta manera se hace eco de los criterios establecidos en varias sentencias del Tribunal Supremo en las que se establece la responsabilidad penal del directivo que:

  1. Tiene obligaciones de control y vigilancia sobre sus subordinados
  2. Tiene autoridad sobre los mismos
  3. Puede evitar el delito, directamente o a través de sus superiores
  4. Conoce el riesgo o la ejecución del acto antijurídico del subordinado
  5. No ejerce sus facultades de control o no actúa para evitar el delito

En estos casos, el directivo es responsable por omisión, ya que ocupa una posición de garante e incumple su deber de impedir la comisión del delito.

La responsabilidad de los directivos debe ser contemplada en los programas de compliance con el fin de mitigar la habitual contradicción entre el defense file de la empresa y el defense file del directivo.

Responsabilidad penal del Compliance Officer

La Fiscalía entiende que el Compliance Officer puede ser una de las personas que, al omitir gravemente el control del subordinado permite la transferencia de responsabilidad a la empresa. En este supuesto, la omisión puede llevarle a ser él mismo penalmente responsable del delito cometido por el subordinado.

En cualquier caso, la exposición personal al riesgo penal del Compliance Officer no es superior a las de otros directivos de la empresa.

Comparativamente, su mayor riesgo penal sólo puede tener su origen en que, por su posición y funciones:

  1. Puede acceder más frecuentemente al conocimiento de la comisión de hechos delictivos.
  2. Especialmente a causa de su responsabilidad en relación a la gestión del canal de denuncias.
  3. Siempre que la denuncia se refiera a hechos que se están cometiendo.
  4. Y que, por tanto, el Compliance Officer puede impedir con su actuación.

Por ello será muy importante que las funciones de control del Compliance Officer estén claramente definidas en el programa de Compliance, en su contrato y en la descripción del puesto de trabajo.

Perímetro de control

En relación a las personas sometidas a la autoridad de los directivos con obligaciones de control, la Fiscalía interpreta que:

  1. Sólo tienen que operar en el ámbito de dirección, supervisión, vigilancia o control de dichos directivos.
  2. No es necesario que se establezca una vinculación formal con la empresa a través de un contrato laboral o mercantil.

Por lo tanto, quedan incluidos:

  1. Los autónomos
  2. Los trabajadores subcontratados, es decir, los trabajadores de los proveedores.
  3. Los empleados de empresas filiales
  4. Siempre que se hallen integrados en el perímetro de su dominio social

Se entiende que si hay un vínculo laboral entrarían en el perímetro de control los empleados de la empresa, y si hay un contrato mercantil podrían entrar:

  1. Los proveedores críticos
  2. Los clientes críticos
  3. Los concesionarios
  4. Los franquiciados

La necesidad de extender el perímetro de control más allá de la plantilla de la propia empresa es una medida que he defendido desde hace años, por lo que no puedo estar más de acuerdo con la posición de la Fiscalía.


Prevención de conductas imprudentes

Los comportamientos que pueden generar responsabilidad penal para la empresa pueden ser dolosos o imprudentes. En la circular de la Fiscalía se recuerda que sólo cuatro grupos de conductas imprudentes son susceptibles de general responsabilidad penal para las empresas:

  1. Las insolvencias punibles
  2. Los delitos contra los recursos naturales y el medio ambiente
  3. El delito de blanqueo de capitales
  4. Los delitos de financiación del terrorismo

Esta información debe ser aprovechada por las empresas y sectores con un riesgo inherente alto en alguno de estos cuatro puntos, ya que así saben donde tienen que concentrar su esfuerzos de prevención y formación.

Se entiende que la prevención de los comportamientos dolosos exige una gran inversión en medidas de control y detención, mientras que la prevención de los comportamientos imprudentes exige destinar más recursos a la información, la formación y la sensibilización.

Ver siguientes entregas

#Compliance 01 – Cómo afecta la Circular 1/2016 de la Fiscalía a los programas de Compliance de las grandes empresas (I)

En mi opinión, la Circular 1/2016 de la Fiscalía General del Estado (FGE) debe ser utilizada a partir de ahora como un marco de referencia en la evaluación de los programas de compliance de las empresas españolas por varios motivos:

  1. Supone una guía de actuación para los más de 2.000 fiscales existentes en España según la Memoria de 2015.
  2. Contiene criterios uniformes que los fiscales deben aplicar en los procesos penales contra empresas.
  3. Es el único marco de referencia existente en la actualidad que interpreta la reforma del Código Penal de 2015 desde la óptica acusatoria.
  4. Es de gran utilidad para las empresas, ya que, además de ayudarles a conocer el “manual del adversario“, les permite adaptar sus modelos de compliance a los criterios que se aplicarían en una eventual imputación. En lenguaje de estudiantes: les permite saber las “preguntas del examen“.

Dejando para otro momento el apasionante debate que suscitan las cuestiones técnicas y procesales que la Circular analiza, voy a enunciar en esta primera entrega y en las sucesivas, los aspectos que, en mi opinión, más afectan a los modelos de organización y gestión de las grandes empresas.

Directivos con obligaciones de control

La Fiscalía entiende que se produce una ampliación del círculo de personas capacitadas para transferir la responsabilidad penal a la persona jurídica, y los divide en tres grupos:

  1. Los representantes legales.
  2. Las personas autorizadas a tomar decisiones en nombre de la empresa.
  3. Las personas que ostentan facultades de organización y control

El Compliance Officer quedaría integrado en esta tercera categoría, por lo que esta circunstancia deberá ser tenida en cuenta en el diseño y evaluación del modelo de compliance y de la estructura de control.

Beneficio directo o indirecto

La sustitución del término “provecho” por el de “beneficio directo o indirecto” permite extender la responsabilidad penal a las empresas que persigan:

  1. Beneficios a través de otras sociedades, entre las que, en mi opinión se incluirían los proveedores críticos.
  2. Beneficios consistentes en un ahorro de costes
  3. Beneficios estratégicos
  4. Beneficios intangibles
  5. Beneficios reputacionales

Esta interpretación confirma la tesis mantenida en nuestro curso de Compliance, en nuestra metodología y en nuestra aplicación informática, sobre la necesidad de identificar y mantener un control continuado sobre los proveedores considerados críticos en materia de compliance. Es decir, aquéllos que podrían cometer un delito en nombre y en beneficio de la empresa.

Ver siguiente entrega

Circular 1/2016, de 22 de enero, sobre la responsabilidad de las personas jurídicas conforme a la reforma del Código Penal efectuada por Ley Orgánica 1/2015

Acaba de publicarse la esperada Circular 1/2016 en la que la Fiscalía General del Estado interpreta la reforma del Código Penal de 2015 en relación a la responsabilidad penal de las personas jurídicas.

En los próximos días organizaremos un ciclo de reuniones y desayunos de trabajo para Compliance Officers con el fin de debatir sobre el contenido de la misma, y comparar los modelos de prevención y control establecidos en sus empresas con este nuevo marco de referencia a tener en cuenta.

Estrategias a seguir ante una mala práctica sectorial tolerada por la empresa

Una cuestión que todavía no está resuelta en el debate abierto sobre la responsabilidad del Compliance Officer y de los miembros del Comité de Compliance es cómo hay que actuar en el caso de comprobar la comisión de un delito continuado en la empresa que es conocido y tolerado por la alta dirección e incluso por el Consejo de Administración. Estas situaciones se producen habitualmente en sectores con malas prácticas consolidadas, en las que aplicar el código ético de manera individual supondría una gran desventaja competitiva para la empresa.

Lo correcto sería promover un plan de adecuación sectorial con una fecha tope a partir de la cual la empresa se desmarcaría de la mala práctica y denunciaría cualquier incumplimiento por parte de un competidor. Pero ello enfrentaría a la empresa con el resto del sector, por lo que esta estrategia no es habitual.

Cuando la empresa renuncia a esta posibilidad y continúa con la mala práctica, se origina un riesgo evidente de incumplimiento que puede generar responsabilidad para los órganos de administración y  de control que no se han opuesto a esta decisión. Pero el riesgo puede incrementarse si el incumplimiento persiste en el tiempo. En ese caso, se discute si es suficiente que el consejero o el compliance officer que se ha opuesto a la mala práctica reitere su oposición o si es necesario que vaya más allá con el fin de evitar una responsabilidad personal por omisión del deber de control o por encubrimiento.

Las posibles estrategias a seguir a partir de ese punto obligan a tomar decisiones incómodas y comprometidas.

Dada la importancia de este punto, la confusión existente en esta materia, la escasez de precedentes y la tendencia a postergar la toma de decisiones en esta materia, he preparado una infografía y un vídeo que analiza esta cuestión y se propone un árbol de decisiones.

Infografía

Vídeo

Ya que se trata de un tema muy sensible para las personas que se encuentran en esta posición, os ruego que si identificáis alguna opción que pueda completar el árbol de decisiones, me la comuniquéis, al objeto de incorporarla en próximas versiones.

Decisiones a adoptar por el Compliance Officer tras el descubrimiento de un delito tolerado por la empresa

Análisis del árbol de decisiones que puede adoptar un Compliance Officer tras tener conocimiento de la existencia de un delito conocido y tolerado por el Consejo de Administración de la empresa, valorando su posible responsabilidad en cada una de dichas opciones. Vídeo de seis minutos.

Ver la explicación en forma de infografía

Partida de Compliance en el presupuesto de la empresa de 2016

Uno de los requisitos introducidos en la reforma del Código Penal de este año para poder acceder a la exención de la responsabilidad penal está relacionado con los recursos económicos que la empresa destina a la prevención y el control de delitos.

En este contexto, a continuación puede verse una relación de las partidas que convendría tener reflejadas, individualmente o de forma agrupada, en el presupuesto de la empresa de 2016.

1. Compliance

Una referencia al modelo de prevención y control constituye una prueba del esfuerzo realizado por la empresa para evitar la comisión de delitos. En esta partida entrarían los salarios de las personas destinadas a esta función, los honorarios de los abogados que asesoran a la empresa en esta materia, el mantenimiento del canal ético y los controles directamente relacionados con el modelo.

2. Controles

Es importante identificar las partidas que cada departamento o unidad de negocio destina a la prevención de riesgos laborales, infracciones de la normativa medioambiental, seguridad informática y cualquier otra medida que contribuya directa o indirectamente a la prevención de delitos. Merece especial atención la función de auditoría interna y el modelo de control de los recursos financieros, incluyendo la segregación de tareas, el circuito de aprobación de pagos, la matriz de poderes, las firmas mancomunadas y todas aquellas medidas destinadas a evitar un mal uso de la caja y los activos de la empresa. Estos controles estrictamente económicos, unidos a la eliminación del efectivo metálico, son de gran utilidad para prevenir la corrupción, el delito fiscal, los fraudes y los delitos que hacen un uso instrumental de la contabilidad.

3. Formación

En 2016 será necesario unificar el programa de formación de la empresa y destinar una partida presupuestaria a asegurar una cultura de cumplimiento en todos los niveles de la compañía, mediante cursos presenciales y online que suministren formación y sensibilización en materia de riesgos penales.

4. Software

Todos estos esfuerzos deberán coordinarse de forma centralizada y ejecutarse de manera descentralizada, lo cual exigirá disponer de aplicaciones adecuadas para realizar un seguimiento de los riesgos, los controles, las evidencias y las tareas a realizar por los responsables de control en cada departamento, empresa del grupo y filial. Sin olvidar el control de los proveedores.

Espero que esta lista sea útil para cuantificar la presencia del Compliance en el presupuesto de 2016, al tiempo que invito a visitar nuestro Portal de Compliance http://www.portaldecompliance.com para ampliar la información.

El periodo medio de pago de las grandes empresas a sus proveedores será valorado en los concursos públicos

El BOE de ayer publicó el Real Decreto-Ley 10/2015 que, entre las medidas de estímulo a la economía, incluye la modificación del artículo 75.1 del texto refundido de la Ley de Contratos del Sector Público, añadiendo un nuevo medio para acreditar la solvencia económica y financiera de las empresas que se presenten a un concurso público.

Este medio adicional consiste en que el órgano de contratación podrá exigir que el periodo medio de pago a proveedores del empresario, siempre que se trate de una sociedad que no pueda presentar cuenta de pérdidas y ganancias abreviada, no supere el límite que a estos efectos se establezca por Orden del Ministro de Hacienda y Administraciones Públicas teniendo en cuenta la normativa sobre morosidad.

Los medios para acreditar la solvencia económica y financiera en los concursos públicos serán, a partir de ahora, los siguientes:

  1. Volumen anual de negocios
  2. Seguro de responsabilidad civil
  3. Patrimonio neto
  4. Periodo medio de pago a proveedores

Las empresas afectadas por este nuevo requisito para contratar con el Sector Público son aquéllas que no pueden formular cuenta de pérdidas y ganancias abreviada, es decir, las que, de acuerdo con el artículo 258 actual de la Ley de Sociedades de Capital, cumplan dos de las circunstancias siguientes:

  1. Activo superior los 11,4 millones de euros.
  2. Importe neto de su cifra anual de negocios superior los 22,8 millones.
  3. Número medio de trabajadores superior a 250.

La normativa sobre morosidad establece el periodo medio de pago a proveedores en un límite de 60 días, aunque se entiende que la Orden Ministerial prevista podría establecer un plazo diferente para el supuesto específico de la valoración de este requisito en un concurso público.

Según la Plataforma Multisectorial contra la Morosidad el periodo medio de pago a proveedores de las compañías del IBEX 35 es de 169 días, por lo que estas empresas serán las más afectadas por este cambio legislativo.

Uno de los principales motivos para iniciar un programa de compliance penal es el riesgo de que la empresa no pueda contratar con el Sector Público si es condenada por un delito cometido por sus trabajadores a causa de un déficit de control. Este riesgo puede llegar a materializarse de una forma mucho más fácil y probable si la empresa no es diligente en el pago a sus proveedores.

Nuevo Campus de Compliance

Me es grato anunciar que ya está operativo nuestro Campus de Compliance.

http://www.campusdecompliance.com

En este campus se concentrará toda la oferta formativa de nuestro despacho, que se divide en tres grandes áreas:

1. Formación para Compliance Officer
2. Formación para empresas – Sensibilización de trabajadores
3. Formación para despachos de abogados

Esta disponible la versión demo de un curso de sensibilización de todos los niveles de una empresa en materia de prevención de riesgos penales y divulgación del código ético. Este curso es muy importante para crear una prueba del esfuerzo preventivo realizado por la empresa, que ayude a conseguir la exención de la responsabilidad penal.

El auditor corrupto

La independencia del auditor está ampliamente regulada en la legislación nacional e internacional y la nueva Ley de Auditoría de Cuentas ha reforzado las obligaciones del auditor en esta materia.

La cuestión que se plantea es si las acciones u omisiones de un auditor, o de una sociedad de auditoría, en el ejercicio de su función de revisión y verificación de las cuentas anuales y los estados financieros de una compañía, pueden llegar a tener trascendencia penal en los supuestos de máxima gravedad.

Hasta ahora, la actividad de los auditores incursos en un procedimiento penal se ha asociado a los delitos de falseamiento de cuentas anuales y de información financiera. La decisión del legislador y del juzgador de sancionar penalmente estas conductas estaría justificada en este caso por la frustración de la confianza del mercado en el informe del auditor sobre la fiabilidad de las cuentas revisadas y el perjuicio causado a los accionistas, proveedores, clientes y demás grupos de interés que confiaron en dicho informe.

Pero el falseamiento de las cuentas anuales y de la información financiera puede ser solamente la consecuencia o el síntoma de una enfermedad más grave: la pérdida de la independencia del auditor causada por el desequilibrio entre la facturación de los servicios de auditoría y los restantes servicios de consultoría y asesoramiento contratados por la compañía auditada.

En los supuestos de máxima gravedad, en los que la sociedad de auditoría ha perdido la capacidad de resistir la presión del cliente para emitir un informe favorable, que oculte la situación real de la empresa, el análisis de la actividad de la sociedad de auditoría debería extenderse a los ingresos obtenidos por servicios distintos a los de auditoría contable.

Es evidente que la pérdida de esos ingresos puede condicionar la opinión del auditor cuando su cuantía es muy superior a los ingresos percibidos por los servicios de auditoría. Esta situación podría llegar a crear una transacción de facto, en el que la partida sería el mantenimiento de unos importantes ingresos por servicios “non-audit” y la contrapartida sería una interpretación más laxa de los criterios contables aplicados por el cliente. La prestación de las dos categorías de servicios por sociedades distintas sería absolutamente irrelevante en el caso de confirmarse la falta de independencia y su influencia final en el informe del auditor.

Si se considerase que la contratación de servicios distintos a los de auditoría se ha convertido, en la práctica, en una contrapartida a la emisión de un informe favorable al cliente, la actividad de la sociedad auditora podría quedar subsumida en el tipo penal del delito de corrupción en los negocios, que tiene asignadas unas penas superiores a las del delito de falseamiento de cuentas, tanto para las personas físicas y como para las jurídicas.

Sería lógico en este caso, por una cuestión ética y estética, que en la oferta de servicios de la firma no figurasen los de “compliance” o cumplimiento normativo, y mucho menos los de formación en esta materia.

 

Entrada en vigor de la reforma del Código Penal – Acciones a realizar

Hoy entra en vigor la reforma del Código Penal, que establece los requisitos a cumplir para que una empresa pueda acceder a la exención de la responsabilidad penal.

De forma telegráfica resumo las acciones que recomiendo realizar en el caso de que todavía no se hayan ejecutado.

1. Aprobar una política que describa el modelo de prevención y control de la empresa.
2. Nombrar un Comité de Compliance basado en un modelo de control descentralizado.
3. Identificar el riesgo de delito en cada departamento a través del correpondiente mapa de riesgos.
4. Definir y aplicar un protocolo de toma de decisiones
5. Definir y aplicar un modelo de gestión de los recursos financieros orientado al compliance.
6. Crear, mantener y promocionar adecuadamente el canal ético de la empresa.
7. Establecer un sistema disciplinario que tenga en cuenta los cortos plazos de prescripción de las infracciones en los convenios
8. Programar una verificación periódica del funcionamiento y el cumplimiento del modelo de prevención y control.

Adicionalmente, y con el fin de cumplir los requisitos de antelación, eficacia, idoneidad y prueba, se recomienda realizar las siguientes acciones:

1. Completar el código ético con escenarios de riesgo y prohibiciones idóneas para todos los riesgos previstos en el mapa de riesgos.
2. Completar el modelo de prevención y control con controles idóneos para todos los riesgos previstos en el mapa de riesgos.
3. Obtener evidencias cronológicas de la existencia y la eficacia de los controles.
4. Conservar las evidencias de los controles en un repositorio que de fe de su antigüedad.