Archivo de la categoría: Sin categoría

El Safe Harbor y la hipocresía europea

Posted on por

La cultura norteamericana se está extendiendo como una mancha de aceite. Por imposición, ósmosis o mimetismo han llegado a nuestras vidas conceptos y costumbres que hace unos años sólo veíamos en las películas. Los términos Halloween, black friday, y el propio compliance han arraigado definitivamente en Europa. Pero lo que todavía no ha llegado, por ejemplo, es la confianza del legislador en el ciudadano, la eliminación de ciertas trabas legales que todavía existen para abrir una empresa y el justo equilibrio entre privacidad y negocio.

En mi opinión, al legislador europeo se le ha ido la mano al diseñar el modelo de protección de datos que actualmente tenemos y ello nos está pasando factura. Un ejemplo claro es la regulación de las cookies.

Es como si un legislador ocioso hubiese identificado un derecho a regular pero hubiese ampliado su alcance hasta crear en el ciudadano necesidades que antes no tenía, llevándonos todos a lo más alto de la pirámide de Maslow.

En el caso de la anulación de los acuerdos Safe Harbor, tengo una opinión que coincide con algunos de los criterios utilizados por el TJUE, pero no con la conclusión. Creo que al juzgador le ha faltado información y comprensión del verdadero problema que subyace en esta cuestión. Y si no es así, entonces le ha sobrado hipocresía al poner en la balanza valores que no son comparables.

Es evidente que la base de la Patriot Act es el miedo, y una persona no amenazada no puede criticar el miedo de la que sí lo está, salvo que el miedo sea excesivo. La causa o la provocación de la amenaza también deberían ser analizadas, pero en ese caso tendríamos que diferenciar entre gobernantes y gobernados.

Tras los atentados de París ya se está hablando de medidas restrictivas de la libertad de movimiento y del derecho a la intimidad que se acercan mucho a las contenidas en la Patriot Act y en normas posteriores. La pregunta es si estas medidas se intensificarán en el caso de que se produzcan más atentados, porque en tal caso las diferencias entre un Estado que espía y otro que está pensando en hacerlo serían meramente cuantitativas. Al final, la cruda realidad sería que el derecho a la intimidad depende exclusivamente del número de muertes y no de la diferencia de valores entre las dos culturas. No sería de extrañar, ya que la vida es más importante que la intimidad, pero en ese caso se produciría una homologación de facto entre la protección de la intimidad en Europa y en Estados Unidos.

Esperemos no tener que oír dentro de unos años la frase «Cómo se respetaba la intimidad en Europa hasta que llegó el miedo» igual que en su día oímos la frase «En España no había racismo, hasta que llegaron los inmigrantes».

Hay que tener en cuenta también que no todo es blanco o negro. Ni unos son tan buenos ni otros tan malos. En Europa también ha habido gobiernos que han reconocido que espiaban a sus ciudadanos. Y también hay agencias que pueden realizar inspecciones y requerimientos de datos sin tutela judicial.

Ello nos lleva a la triste conclusión de que ni las cláusulas tipo, ni las normas corporativas vinculantes, ni siquiera un nuevo acuerdo Safe Harbor pueden impedir que un Estado espíe o requiera la entrega de datos a los encargados del tratamiento.

Tampoco sirve de nada que el servidor esté en Europa, ya que si el proveedor es norteamericano tendrá que suministrar igualmente a la agencia requirente los datos que gestiona, estén donde estén. Y si no lo es, seguramente subcontratará los servicios de una empresa norteamericana, aunque muy probablemente no lo sepa.

Como decía Manuel Castells en 2001, la información ya no es un activo a almacenar, sino un flujo a optimizar, y hoy más que nunca cobra sentido esta afirmación. Cada vez es más difícil, y a la vez irrelevante, saber dónde están realmente los datos. Cuando un Magistrado del TJUE envía un mail a su familia, es muy probable que los routers encuentren un camino más rápido por otros países que no protegen los datos como en Europa, porque a esa hora están menos activos.

Por todo ello, cuando Europa y EEUU se pongan en serio a negociar Safe Harbor 2, tal vez tengan en cuenta todos los factores que hacen que sus normas y su cultura estén cada vez más cerca, y recuerden que los datos no saben lo que son las fronteras.

ACTUALIZACIÓN:  «El Parlamento británico tramita un proyecto de ley que pretende facilitar a la policía acceso a los registros del uso de Internet de los ciudadanos, algo que el Gobierno considera esencial para combatir el crimen y la amenaza terrorista».
Ver noticia completa

ACTUALIZACIÓN:  «Los ministros de Defensa presionan para imponer una nueva legislación (Francia quiere prohibir el acceso a TOR, según difundió Le Monde hace unos días) y los defensores de los derechos civiles empiezan a mostrar preocupación».
Ver noticia completa

Caso Pfizer: notas para el análisis

Posted on por

El carácter insólito y la gravedad de la noticia aparecida ayer en Redacción Médica obliga a realizar una reflexión sobre puntos que han sido objeto de debate en todos los cursos de compliance que he impartido en los últimos meses. Por ello considero necesario relacionar las materias que puede suscitar este caso y que deberán ser objeto de un análisis jurídico posterior, por las enseñanzas que puede aportar para el diseño y la mejora  de programas de compliance en nuestro país. Esta relación de puntos a analizar se basa exclusivamente en las noticias aparecidas en los medios de comunicación, sin darlas por ciertas y sin que la valoración se refiera a ellas, sino a la problemática jurídica que subyace en ellas.

1. La infracción del código ético como causa de despido 

1.1 El código ético de una empresa multinacional acostumbra a tener una aplicación internacional, aunque se ha planteado en muchas ocasiones la necesidad de adecuarlo a la cultura y a las normas de cada país, con el fin de asegurar el cumplimiento de los requisitos de eficacia e idoneidad exigidos, en el caso de España, en la reforma del Código Penal de 2015.

1.2 El incumplimiento del código ético y las políticas de compliance ha sido utilizado con éxito como argumento de despido en varios casos, entre los que destaca el de una empresa del sector del automóvil, que despidió a un trabajador por vender coches adquiridos con un descuento especial a la compañía sin haber transcurrido el plazo mínimo establecido para poder venderlos.

1.3 La empresa que incumple su propio código ético no puede utilizarlo para despedir a los trabajadores que también lo incumplen. Así se estableció una sentencia que afectaba a una mutua que debía más de 42 millones a la Seguridad Social.

1.4 También existe al menos una sentencia que declara improcedente un despido basado en el incumplimiento de un código ético que estaba escrito en inglés, idioma desconocido por el trabajador despedido.

2. Ventajas y desventajas de los canales éticos gestionados por la matriz

2.1 La comunicación de un riesgo o de un incumplimiento a través del canal ético gestionado por la empresa matriz permite que su investigación y deliberación escape a posibles presiones o frenos que pueden surgir en la sede local. Ello asegura la independencia, la objetividad y la no contaminación del equipo investigador, al tiempo que evita filtraciones.

2.2 Por contra, existe el riesgo de escalar a nivel internacional un conflicto que puede ser resuelto de manera más discreta y con menor impacto reputacional en sede local. También existe la posibilidad de que la distancia geográfica haga que la investigación no sea suficientemente profunda y adolezca de un escaso conocimiento de la filial y de la autoría de los hechos investigados.

3. Pruebas basadas en conversaciones telefónicas y correo electrónico

Antes de realizar una investigación debe analizarse la legislación y la doctrina jurisprudencial del país en el que se ha producido la presunta infracción. Este análisis debe tener en cuenta el contenido de la normas de uso de los recursos TIC de la filial, el nivel de advertencia sobre una posible monitorización, la existencia de una sospecha razonable, el juicio de proporcionalidad y, en su caso, el secreto de las comunicaciones.

4. Responsabilidad por conocer una infracción y no denunciarla

Debe analizarse caso por caso la responsabilidad interna y externa de las personas que pueden aparecer copiadas en los mensajes de correo electrónico investigados. En función de la gravedad de la infracción deberá valorarse las consecuencias de una eventual tolerancia dolosa, o del simple conocimiento del incumplimiento. También deberá valorarse la actividad desarrollada a partir del momento en que se conoce la infracción. Si la persona copiada ocupaba una posición de garante y tenía la obligación de impedir la infracción, la responsabilidad derivada del conocimiento de la misma será mayor.

5. Responsabilidad del Compliance Officer

El hecho de que entre los directivos despedidos figuren, según la noticia comentada, personas asociadas a la función de compliance pone de nuevo sobre la mesa el debate sobre la responsabilidad del Compliance Officer. Para la valoración de este extremo deberá tenerse en cuenta lo dicho en el punto anterior en relación al nivel de conocimiento de la presunta infracción y la existencia o no de una obligación de impedirla.

6. Cambio cultural

Los casos relacionados con el compliance que llegan a los medios de comunicación pueden ser una fuente de conocimiento que no debe ser desaprovechada para mejorar el modelo de gestión, prevención y control de riesgos legales en las empresas. Cada noticia puede ser un indicador de que el negocio sigue estando por encima de la ley en las prioridades de la empresas o una prueba de que estamos asistiendo a un importante cambio cultural que va a provocar un nuevo orden en esas prioridades.

Selección de beta testers para nuestra aplicación de compliance

Posted on por

Logo del grupo 100x50En unos días vamos a pasar a versión beta la aplicación Compliance 3.0, que hemos diseñado para gestionar un modelo de prevención y control (Compliance Management System o CMS).

Además de aplicar estándares internacionales, la aplicación está adaptada a la cultura empresarial española y a los requisitos establecidos en la reforma del Código Penal de 2015.

Tanto la aplicación como sus contenidos (Factores de riesgo, riesgos, controles y evidencias) parten de nuestra metodología Compliance 3.0 y de la experiencia obtenida en los proyectos realizados hasta la fecha.

Dado que esta aplicación va dirigida a grandes empresas, hemos decidido seleccionar cinco empresas de este perfil para que utilicen la versión beta de la aplicación hasta la fecha de su lanzamiento.

Las empresas interesadas pueden enviar un mensaje a xavier.ribas@ribastic.com

El Tribunal de Justicia de la UE anula el Safe Harbor

Posted on por

Marc Rius

A raíz de una denuncia ante la autoridad irlandesa de protección de datos sobre el tratamiento de datos de usuarios de Facebook en EEUU, el Tribunal de Justicia de la Unión Europea (TJUE) ha decidido declarar nula la Decisión 2000/520/CE, de 26 de julio, de la Comisión Europea, por la que se aprueban los principios internacionales Safe Harbor.

Dicha Decisión permitía que las empresas sitas en EEUU pudieran adherirse al Safe Harbor, mediante la certificación de cumplimiento de ciertos requisitos orientados a proteger el derecho a la protección de datos y la intimidad de ciudadanos europeos.

Asimismo, ante la Agencia Española de Protección de Datos (AEPD), las empresas americanas adscritas a Safe Harbor eran consideradas como entidades que ofrecían garantías adecuadas, pudiéndose transferir datos a dichas entidades sin más requisitos que la notificación a la Agencia. Formar parte de Safe Harbor por tanto permitía mayor agilidad para realizar dichas transferencias de datos, sobre todo teniendo en cuenta que las transferencias a EEUU requieren, por norma general, la autorización del Director de la AEPD.

El TJUE considera que la normativa actual de Estados Unidos, debida a las exigencias de seguridad nacional e interés público, impiden el correcto cumplimiento de los compromisos exigidos por el Safe Harbor al prevalecer sobre éste, “de modo que las entidades estadounidenses están obligadas a dejar de aplicar, sin limitación, las reglas de protección de previstas por ese régimen cuando entren en conflicto con las citadas exigencias”.  Añade asimismo que “una normativa que permite a las autoridades públicas acceder de forma generalizada al contenido de las comunicaciones electrónicas lesiona el contenido esencial del derecho fundamental al respeto de la vida privada”.

Por último, indica el TJUE que que la Decisión de la Comisión “priva a las autoridades nacionales de control de sus facultades, en el supuesto de que una persona impugne la compatibilidad de la Decisión con la protección de la vida privada y de las libertades y derechos fundamentales de las personas”, y que por tanto “la Comisión carecía de competencia para restringir de ese modo las facultades de las autoridades nacionales de control”.

Por todo lo anterior, el TJUE declara inválida la Decisión de la Comisión, por lo que desde este momento, todas las autoridades de control podrán estudiar la situación de las transferencias internacionales, y por tanto mantener el status o no del Safe Harbor y las compañías adheridas a él.

En el momento de la redacción de este artículo, no ha habido comunicación oficial por parte de la AEPD (ni tampoco se ha publicado la sentencia del TJUE, siendo únicamente accesible la nota de prensa bit.ly/tjue_safeharbor), por lo que se desconocen los efectos que podría tener la anulación de la Decisión, pero es probable que cambie radicalmente la forma de tratar las transferencias internacionales a Estados Unidos. Cabe recordar que ya se puso en duda la validez del Safe Harbor desde finales del año pasado, y que incluso se estaba negociando una nueva versión del acuerdo.

Se intuye sin embargo que, una vez el Tribunal Irlandés que sometió la cuestión al TJUE se pronuncie, lo hagan las demás autoridades de control, entre ellas la AEPD, siendo más que probable que se decida no aplicar más las prerrogativas del Safe Harbor y, por tanto, cualquier transferencia internacional a EEUU sea tratada, en todos los casos, como una transferencia a un Estado que no ofrece un nivel adecuado de protección. Cabrá ver si, adicionalmente, también se anulan todas las autorizaciones realizadas hasta la fecha y, por tanto, si habrá que realizar una revisión de todos los contratos firmados bajo el marco de Safe Harbor.

Para más información, puede ver toda la documentación sobre el caso que ha llevado a la decisión del TJUE en http://curia.europa.eu/juris/documents.jsf?num=C-362/14.

ACTUALIZACIÓN: Enlace a la sentencia:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclang=ES&mode=req&dir=&occ=first&part=1&cid=121709

 

El periodo medio de pago de las grandes empresas a sus proveedores será valorado en los concursos públicos

Posted on por

El BOE de ayer publicó el Real Decreto-Ley 10/2015 que, entre las medidas de estímulo a la economía, incluye la modificación del artículo 75.1 del texto refundido de la Ley de Contratos del Sector Público, añadiendo un nuevo medio para acreditar la solvencia económica y financiera de las empresas que se presenten a un concurso público.

Este medio adicional consiste en que el órgano de contratación podrá exigir que el periodo medio de pago a proveedores del empresario, siempre que se trate de una sociedad que no pueda presentar cuenta de pérdidas y ganancias abreviada, no supere el límite que a estos efectos se establezca por Orden del Ministro de Hacienda y Administraciones Públicas teniendo en cuenta la normativa sobre morosidad.

Los medios para acreditar la solvencia económica y financiera en los concursos públicos serán, a partir de ahora, los siguientes:

  1. Volumen anual de negocios
  2. Seguro de responsabilidad civil
  3. Patrimonio neto
  4. Periodo medio de pago a proveedores

Las empresas afectadas por este nuevo requisito para contratar con el Sector Público son aquéllas que no pueden formular cuenta de pérdidas y ganancias abreviada, es decir, las que, de acuerdo con el artículo 258 actual de la Ley de Sociedades de Capital, cumplan dos de las circunstancias siguientes:

  1. Activo superior los 11,4 millones de euros.
  2. Importe neto de su cifra anual de negocios superior los 22,8 millones.
  3. Número medio de trabajadores superior a 250.

La normativa sobre morosidad establece el periodo medio de pago a proveedores en un límite de 60 días, aunque se entiende que la Orden Ministerial prevista podría establecer un plazo diferente para el supuesto específico de la valoración de este requisito en un concurso público.

Según la Plataforma Multisectorial contra la Morosidad el periodo medio de pago a proveedores de las compañías del IBEX 35 es de 169 días, por lo que estas empresas serán las más afectadas por este cambio legislativo.

Uno de los principales motivos para iniciar un programa de compliance penal es el riesgo de que la empresa no pueda contratar con el Sector Público si es condenada por un delito cometido por sus trabajadores a causa de un déficit de control. Este riesgo puede llegar a materializarse de una forma mucho más fácil y probable si la empresa no es diligente en el pago a sus proveedores.

El auditor corrupto

Posted on por

La independencia del auditor está ampliamente regulada en la legislación nacional e internacional y la nueva Ley de Auditoría de Cuentas ha reforzado las obligaciones del auditor en esta materia.

La cuestión que se plantea es si las acciones u omisiones de un auditor, o de una sociedad de auditoría, en el ejercicio de su función de revisión y verificación de las cuentas anuales y los estados financieros de una compañía, pueden llegar a tener trascendencia penal en los supuestos de máxima gravedad.

Hasta ahora, la actividad de los auditores incursos en un procedimiento penal se ha asociado a los delitos de falseamiento de cuentas anuales y de información financiera. La decisión del legislador y del juzgador de sancionar penalmente estas conductas estaría justificada en este caso por la frustración de la confianza del mercado en el informe del auditor sobre la fiabilidad de las cuentas revisadas y el perjuicio causado a los accionistas, proveedores, clientes y demás grupos de interés que confiaron en dicho informe.

Pero el falseamiento de las cuentas anuales y de la información financiera puede ser solamente la consecuencia o el síntoma de una enfermedad más grave: la pérdida de la independencia del auditor causada por el desequilibrio entre la facturación de los servicios de auditoría y los restantes servicios de consultoría y asesoramiento contratados por la compañía auditada.

En los supuestos de máxima gravedad, en los que la sociedad de auditoría ha perdido la capacidad de resistir la presión del cliente para emitir un informe favorable, que oculte la situación real de la empresa, el análisis de la actividad de la sociedad de auditoría debería extenderse a los ingresos obtenidos por servicios distintos a los de auditoría contable.

Es evidente que la pérdida de esos ingresos puede condicionar la opinión del auditor cuando su cuantía es muy superior a los ingresos percibidos por los servicios de auditoría. Esta situación podría llegar a crear una transacción de facto, en el que la partida sería el mantenimiento de unos importantes ingresos por servicios «non-audit» y la contrapartida sería una interpretación más laxa de los criterios contables aplicados por el cliente. La prestación de las dos categorías de servicios por sociedades distintas sería absolutamente irrelevante en el caso de confirmarse la falta de independencia y su influencia final en el informe del auditor.

Si se considerase que la contratación de servicios distintos a los de auditoría se ha convertido, en la práctica, en una contrapartida a la emisión de un informe favorable al cliente, la actividad de la sociedad auditora podría quedar subsumida en el tipo penal del delito de corrupción en los negocios, que tiene asignadas unas penas superiores a las del delito de falseamiento de cuentas, tanto para las personas físicas y como para las jurídicas.

Sería lógico en este caso, por una cuestión ética y estética, que en la oferta de servicios de la firma no figurasen los de «compliance» o cumplimiento normativo, y mucho menos los de formación en esta materia.

 

Nuevo curso de Compliance Officer de Aranzadi y Ribas y Asociados

Posted on por

Como resultado de un acuerdo de colaboración alcanzado con Thomson Reuters Aranzadi, y con el aval de la Universidad CEU San Pablo, se iniciará en el mes de septiembre un nuevo curso online de Compliance Officer de 200 horas, adaptado a la reforma del Código Penal de este año.

El curso constará de dos partes:

PARTE I – Metodología
PARTE II – Delitos, riesgos y controles

El programa se puede descargar a través de este enlace:

Descargar el programa del curso

Entrada en vigor de la reforma del Código Penal – Acciones a realizar

Posted on por

Hoy entra en vigor la reforma del Código Penal, que establece los requisitos a cumplir para que una empresa pueda acceder a la exención de la responsabilidad penal.

De forma telegráfica resumo las acciones que recomiendo realizar en el caso de que todavía no se hayan ejecutado.

1. Aprobar una política que describa el modelo de prevención y control de la empresa.
2. Nombrar un Comité de Compliance basado en un modelo de control descentralizado.
3. Identificar el riesgo de delito en cada departamento a través del correpondiente mapa de riesgos.
4. Definir y aplicar un protocolo de toma de decisiones
5. Definir y aplicar un modelo de gestión de los recursos financieros orientado al compliance.
6. Crear, mantener y promocionar adecuadamente el canal ético de la empresa.
7. Establecer un sistema disciplinario que tenga en cuenta los cortos plazos de prescripción de las infracciones en los convenios
8. Programar una verificación periódica del funcionamiento y el cumplimiento del modelo de prevención y control.

Adicionalmente, y con el fin de cumplir los requisitos de antelación, eficacia, idoneidad y prueba, se recomienda realizar las siguientes acciones:

1. Completar el código ético con escenarios de riesgo y prohibiciones idóneas para todos los riesgos previstos en el mapa de riesgos.
2. Completar el modelo de prevención y control con controles idóneos para todos los riesgos previstos en el mapa de riesgos.
3. Obtener evidencias cronológicas de la existencia y la eficacia de los controles.
4. Conservar las evidencias de los controles en un repositorio que de fe de su antigüedad.

Una oportunidad para compartir o limitar la responsabilidad del Compliance Officer

Posted on por

El pasado 3 de junio se publicó en el Boletín Oficial del Senado el Proyecto de Ley de Auditoría de Cuentas, que extiende la obligación de disponer de una Comisión de Auditoría a las empresas cuyo importe neto de la cifra de negocios de más de 200 millones de euros o tengan más de 1.000 empleados.

La Comisión de Auditoría de estas empresas deberá tener la composición y las funciones contempladas en el artículo 529 quaterdecies del Texto Refundido de la Ley de Sociedades de Capital.

Esta comisión puede compartir o llegar a sustituir las funciones y responsabilidades del Compliance Officer o del Comité de Compliance en su caso, ya que es el órgano al que se refiere alternativamente el artículo 31 bis del Código Penal cuando habla del órgano que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica.

Composición de la Comisión de Auditoría

La comisión de auditoría estará compuesta exclusivamente por consejeros no ejecutivos nombrados por el consejo de administración, la mayoría de los cuales, al menos, deberán ser consejeros independientes y uno de ellos será designado teniendo en cuenta sus conocimientos y experiencia en materia de contabilidad, auditoría o en ambas. En su conjunto, los miembros de la comisión tendrán los conocimientos técnicos pertinentes en relación con el sector de actividad al que pertenezca la entidad auditada.

Funciones de la Comisión de Auditoría

Sin perjuicio de las demás funciones que le atribuyan los estatutos sociales o de conformidad con ellos, el reglamento del Consejo de Administración, la Comisión de Auditoría tendrá, como mínimo, una serie de funciones, entre las que destaca la de supervisar la eficacia del control interno de la sociedad, la auditoría interna y los sistemas de gestión de riesgos.

En las entidades a que dispongan de un órgano con funciones equivalentes a las de la Comisión de Auditoría, que se haya establecido y opere conforme a su normativa aplicable, las funciones de la Comisión de Auditoría serán asumidas por el citado órgano, debiendo dichas entidades hacer público en su página web el órgano encargado de esas funciones y su composición. Este órgano podría ser el Comité de Compliance o el Compliance Officer. La dificultad de que una sola persona asuma estas funciones confirma una vez más la recomendación de que se trate de un órgano colegiado.

Empresas que estarán obligadas a tener Comisión de Auditoría

Están obligadas a tener Comisión de Auditoría las entidades de interés público. El artículo 3.5.b del proyecto establece que tendrán la consideración de entidades de interés público las que se determinen reglamentariamente en atención a su importancia pública significativa por la naturaleza de su actividad, por su tamaño o por su número de empleados.

Hasta el momento en que se produzca el desarrollo reglamentario de la futura Ley de Auditoría de Cuentas, el actual Reglamento del texto refundido de la Ley de Auditoría de Cuentas atribuye la consideración de entidades de interés público a las empresas cuyo importe neto de la cifra de negocios o plantilla media durante dos ejercicios consecutivos, a la fecha de cierre de cada uno de ellos, sea superior a 200.000.000 de euros o a 1.000 empleados, respectivamente. ACTUALIZACIÓN: la propuesta del Gobierno consiste en que estos umbrales pasen a 2.000 millones y 4.000 empleados.

Cómo quedará configurada la responsabilidad del Compliance Officer

Con la entrada en vigor de la nueva Ley de Auditoría de Cuentas las empresas podrán optar por las siguientes alternativas:

1. Asignar la función de supervisión del modelo de prevención y control de delitos (Programa de Compliance) exclusivamente a la Comisión de Auditoría, por ser el órgano que tiene encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica, de acuerdo con lo establecido en el artículo 31 bis del Código Penal y la Ley de Sociedades de Capital. Ello sin perjuicio de que la Comisión de Auditoría delegue funciones de supervisión y control en el Comité de Compliance o en el Compliance Officer en su caso.

2. Asignar al Comité de Compliance las funciones establecidas legalmente a la Comisión de Auditoría. En tal caso, el Comité de Compliance deberá operar conforme a lo establecido en la Ley de Auditoría de Cuentas, en la Ley de Sociedades de Capital y en el artículo 31 bis del Código Penal de forma acumulativa. La empresa deberá hacer público en su página web el órgano encargado de estas funciones y su composición.

3. Repartir las funciones de supervisión y control entre la Comisión de Auditoría y el Comité de Compliance. Esta sería la opción más recomendable según mi opinión, ya que de esta manera se produciría una especialización en la función de control, financiero y contable en el primer caso, y relativo a los riesgos penales en el segundo.

Conclusiones

La extensión de la obligación de disponer de Comisión de Auditoría a las sociedades no cotizadas que cumplan los requisitos cuantitativos comentados abre la posibilidad de compartir o concentrar la función de supervisión y control en un órgano superior, formado, (por razones de independencia) por consejeros no ejecutivos. Ello será especialmente relevante en el momento de depurar responsabilidades por la existencia de un déficit de control en la sociedad, dado que los consejeros ya tienen en la actualidad una potencial responsabilidad penal por la vía del artículo 31 y el Compliance Officer, o el Comité de Compliance en su caso, no debería responder de un entorno de control diseñado por el Consejo de Administración.