Cómo evaluar un factor de riesgo a partir de tres niveles de interlocución

Nuevo vídeo de nuestra aplicación Compliance 3.0 en el que explicamos cómo se evalúa un factor de riesgo a través de tres niveles de interlocución de un departamento. El departamento escogido como ejemplo es el Comercial, que es el que más discrepancias ofrece entre el nivel más alto y el más bajo en asuntos recurrentes, como las invitaciones, atenciones y regalos a clientes.

Sellado de tiempo y custodia de evidencias de cumplimiento

Como ya comentamos al inicio de este año, estamos aprovechando el 30 aniversario de nuestra especialización para ampliar, mejorar y relanzar nuestros servicios.

Uno de ellos es el sellado de tiempo y la custodia de evidencias de cumplimiento con el fin de acreditar de forma indubitada la fecha de obtención de una evidencia en un proyecto de compliance. Este servicio se originó a partir de la necesidad de acreditar la existencia previa del control para poder acceder a la exención de responsabilidad penal o a la atenuación de las sanciones en sede administrativa.

El sistema también sirve para acreditar el contenido de los mensajes enviados a proveedores y clientes, así como los mensajes internos enviados como recordatorio de las obligaciones de control a los diferentes responsables.

Las principales finalidades del sellado de tiempo en un proyecto de compliance son, por lo tanto, las siguientes:

  • Prueba cronológica de la existencia de los controles normativos, de prevención, de detección y de mitigación.
  • Prueba cronológica de la idoneidad de los controles.
  • Prueba cronológica de la eficacia de los controles.
  • Prueba cronológica de las pruebas de estrés de los controles.
  • Prueba cronológica de los mensajes enviados a clientes y proveedores.
  • Prueba cronológica de los recordatorios enviados a los responsables de un control.

Las características principales de este servicio son las siguientes:

  • Sellado de tiempo automatizado.
  • Depósito notarial periódico.
  • Sellado de mensajes enviados en copia oculta o en abierto.
  • Dirección de mail de sellado única para cada cliente.
  • Entrega de evidencias a través de la aplicación Compliance 3.0.
  • Asociación entre evidencias y controles y evaluación continuada en la aplicación.
  • Verificación de las evidencias.
  • Custodia de las evidencias durante el plazo de prescripción de la infracciones.
  • Tarifa plana.
  • Alojamiento del repositorio de evidencias en un servidor español.
  • Protocolización notarial selectiva en caso de reclamación o juicio.
  • Ratificación en juicio.

En el gráfico adjunto se puede ver el proceso de sellado y custodia de las evidencias.

En el caso de precisar más información sobre este servicio se puede solicitar un dossier completo a xavier.ribas@ribastic.com

sellado

30 años

Una alternativa a la dimisión de Compliance Officer

En las Jornadas de Compliance de Barcelona del pasado mes de junio, organizadas por Thomson Reuters Aranzadi y Cumplen, di una ponencia sobre la figura del Compliance Officer, sus derechos, sus deberes y su responsabilidad. Fue mi primera conferencia después de un accidente de tráfico que ocasionó la fractura múltiple de mi mandíbula y una buena temporada de dieta líquida y sin poder hablar, por lo que me alegro mucho de haber podido superar mis dificultades para vocalizar, a pesar de la letra ese, que todavía se resiste.

Al hablar de la responsabilidad del Compliance Officer expliqué las opciones que este cargo tiene ante el descubrimiento de un delito continuado tolerado por la alta dirección de la empresa y de las estrategias a seguir ante una mala práctica sectorial apoyada por los directivos de la empresa, tal como previamente había descrito en una infografía y en un vídeo publicados en mi blog.

Estas opciones se concretaban en la negociación de alternativas con los directivos afectados, la comunicación al Consejo de Administración o la comunicación a los accionistas, y finalizaban en la denuncia externa, con el consiguiente riesgo de despido o la dimisión del Compliance Officer, con la correspondiente pérdida de la indemnización.

Al final de la jornada estuve hablando con Emilio del Bas, abogado laboralista, que me comentó que existía otra alternativa a la dimisión que permitía salir de la empresa incumplidora sin perder la indemnización que correspondería en el caso de un despido improcedente.

Días después me envió la argumentación jurídica que Emilio del Bas consideraba aplicable a los supuestos de impedimento grave para el desarrollo de las funciones encomendadas al Compliance Officer interno por parte de la empresa. Esta argumentación, que desde aquí le agradezco, sustentaba una alternativa más ventajosa que la dimisión voluntaria, consistente en solicitar la extinción del contrato laboral por parte del Compliance Officer.

El fundamento jurídico de la tesis de Emilio del Bas se encuentra recogido en el artículo 50.1.c del Estatuto de los Trabajadores, que establece como causa justa para que el trabajador pueda solicitar la extinción del contrato, cualquier otro incumplimiento grave de sus obligaciones por parte de la empresa, distinto a los ya previstos en dicho artículo.

Este artículo debe ponerse en relación con los artículos 4.2.a y 5.a del Estatuto de los trabajadores.

El primero establece el derecho a la ocupación efectiva de los trabajadores y el segundo el deber laboral básico del trabajador de cumplir con las obligaciones concretas de su puesto de trabajo, de conformidad a las reglas de la buena fe y diligencia.

De la conjunción de estos dos últimos preceptos a juicio de Emilio del Bas resultan inequívocos, tanto el derecho del trabajador a la ocupación efectiva, entendida ésta como desarrollo en toda su extensión de su profesión de Compliance Officer, como su deber de hacerlo conforme a las reglas de la buena fe y diligencia, es decir, sin limitaciones a su alcance.

En consecuencia, de darse por parte de la empresa el supuesto de impedir o limitar de modo grave las funciones propias e inherentes al Compliance Officer estaríamos en el supuesto de grave incumplimiento empresarial del art. 50.1.c del Estatuto de los Trabajadores, que le habilitaría para instar la extinción de su contrato de trabajo por imposibilidad material de llevar a cabo el objeto del mismo, pero a diferencia de en el caso de la dimisión voluntaria, con las siguientes coberturas:

  1. Indemnización idéntica a la establecida para los supuestos de despido improcedente, y
  2. Acceso a las prestaciones económicas por desempleo.

La extinción del contrato laboral a instancias del trabajador supone una alternativa reconocida de forma reiterada por el Tribunal Supremo. En el caso del Compliance Officer el incumplimiento grave de la empresa consistiría en impedir al Compliance Officer la realización de sus funciones de prevención y control, imposibilitando la aplicación del modelo de compliance de la empresa, la supervisión de su cumplimiento y la sanción de sus incumplimientos, de acuerdo con los requisitos establecidos en el artículo 31 bis del Código Penal para la exención de la responsabilidad penal de la empresa.

Adicionalmente, el impedimento y la limitación de las funciones del Compliance Officer tendrían el efecto perverso de consolidar el delito continuado denunciado como práctica habitual de la empresa.

Curso de compliance

Nuestro despacho va a lanzar en marzo un curso de compliance de 150 horas que tendrá tres formatos alternativos:

Presencial – 5 meses (50 horas presenciales + 100 horas online)
Presencial intensivo – 2 días (16 horas presenciales + 134 horas online)
Online (150 horas online)

Las características diferenciales de este curso son las siguientes:

– En las dos modalidades presenciales no se superarán los 10 asistentes por clase con el fin de conseguir el máximo aprovechamiento en los debates, talleres y casos prácticos.

– Toda la formación será impartida por abogados en ejercicio, por lo que  irá orientada a la aplicación práctica de la metodología a la función de compliance.

– La metodología irá orientada específicamente a la prevención de la responsabilidad de la empresa y del directivo.

– Se realizarán 20 talleres de aplicación y prueba de medidas preventivas y controles específicos.

– Se analizarán y resolverán 40 casos prácticos.

– Se analizarán 50 escenarios de riesgo con sus respectivos controles y evidencias.

– Se revisarán 20 actividades críticas que habitualmente se externalizan.

– Se identificarán 20 categorías de proveedores críticos de diversos sectores.

– Se explicará la metodología de control de los proveedores críticos.

– Se explicará el uso de herramientas informáticas de análisis de riesgos, gestión de controles y de evidencias.

Si deseas que te envíe el programa y el precio del curso en sus tres modalidades te ruego que me lo indiques enviando un mensaje a xavier.ribas@ribastic.com

Te ruego también que especifiques cuál de los tres formatos te interesa más.

El programa coincide en estructura y alcance con la metodología Compliance 3.0 desarrollada y registrada por nuestro despacho, por lo que su distribución está restringida.

El proyecto Castor y los protocolos de toma de decisiones

Este artículo se basa en la información publicada en los medios de comunicación sobre el proyecto Castor y ha sido escrito con la única finalidad de realizar un análisis teórico de los protocolos de toma de decisiones y los modelos de prevención y control en las empresas. El autor no tiene la intención de valorar la actividad preventiva desarrollada por las empresas y organismos públicos participantes en el proyecto.

En el artículo Ébola y compliance me referí de manera esquemática a los protocolos de toma de decisiones como uno de los elementos clave de un modelo de prevención y control de riesgos legales en el seno de una empresa. Si en ese artículo utilicé la gestión de la crisis del Ébola en España como análisis teórico basado en el estudio del caso, en este artículo voy a utilizar el proyecto Castor como referencia en el análisis de un proceso de toma de decisiones orientado a la prevención de riesgos.

Protocolo de toma de decisiones

En el proyecto de reforma del Código Penal se establece que los modelos de organización y gestión de las empresas deberán establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas.

En mi opinión, el esquema básico de un proceso de toma de decisiones críticas o de alto riesgo, que debería formar parte del reglamento del Consejo de Administración y del modelo de prevención y control de una empresa, es el siguiente:

– Solicitud de informes internos y externos
– Asesoramiento técnico especializado en los riesgos a prevenir
– Asesoramiento jurídico especializado en los riesgos a prevenir
– Evaluación objetiva de los riesgos: laboral, fiscal, medioambiental, penal, etc.
– Análisis de advertencias y mensajes de alerta recibidos
– Análisis de escenarios posibles
– Análisis de alternativas
– Análisis de costes y nivel de endeudamiento
– Balance de prioridades entre intereses individuales y colectivos
– Mayoría reforzada en el proceso de votación

Informes obligatorios

Además de los informes que la empresa decida solicitar voluntariamente en la fase inicial del proceso de toma de decisiones, la solicitud de estos informes puede ser en muchos casos un requisito establecido por la ley.

Entre los numerosos ejemplos de esta obligación legal tienen especial trascendencia para los proyectos de compliance los tres siguientes:

1. Los informes previos exigidos en la Ley de Evaluación Ambiental

2. El informe de experto previsto en la normativa de prevención del blanqueo de capitales.

3. Los informes exigidos en la Ley de Sociedades de Capital, entre los que destacan los siguientes:

– Informe técnico sobre la viabilidad de la sociedad proyectada
– Informe técnico sobre la valoración de las aportaciones no dinerarias
– Informe que justifique las adquisiciones onerosas durante los dos primeros años
– Informe de valoración de acciones y participaciones
– Informe de gestión
– Informe de auditoría
– Informes relativos a los puntos del orden del día de una junta general
– Informe de justificación de la modificación de los estatutos sociales
– Informe previo al aumento de capital con cargo a aportaciones no dinerarias
– Informe previo al aumento de capital por compensación de créditos
– Informe de valoración previo a la separación y exclusión de socios
– Informes previos a la liquidación de la sociedad
– Informe previo a la conversión de obligaciones convertibles en acciones
– Informe previo a la supresión del derecho de suscripción preferente
– Informes solicitados por el sindicato de obligacionistas
– Informe previo a la constitución por fusión de una sociedad anónima europea
– Informe previo a la constitución por transformación en sociedad anónima europea
– Informe previo a la representación de las acciones de sociedades cotizadas
– Informe previo a la aprobación del reglamento del Consejo en las sociedades cotizadas
– Informe de buen gobierno corporativo en las sociedades cotizadas

He querido ser especialmente exhaustivo en la relación de estos informes para demostrar las numerosas obligaciones que la Ley de Sociedades de Capital exige a las sociedades en relación a los informes que tienen que recabar antes de realizar acciones que pueden afectar a la empresa, a sus accionistas y los restantes grupos de interés.

El proyecto Castor

De acuerdo con la información publicada en los medios de comunicación, las elementos que objetivamente debían ser prioritariamente valorados antes de iniciar el proyecto Castor, por afectar al medio ambiente y a la seguridad colectiva, eran los siguientes:

– El gas se iba a almacenar en una cavidad del subsuelo marino de la costa de Vinaroz
– La cavidad estaba cerca de la falla de Amposta
– En esta zona el subsuelo está formado por roca caliza porosa
– La cavidad se había formado con la extracción de petróleo entre 1973 y 1989
– El vacío dejado por el petróleo originó una probable contracción de la roca porosa
– Al inyectarse gas a 250 atmósferas la roca porosa podía expandirse y provocar fracturas
– La expansión de la roca porosa podía afectar a la falla de Amposta
– Como resultado del desplazamiento de la falla se podían producir temblores
– Tras el procedimiento correspondiente se publicó la declaración de impacto ambiental
 En ella se mencionaba la recepción de 141 escritos de los afectados de la zona
– En estos escritos se alegaban, entre otros riesgos, el de terremotos (Página 94816)
– En el estudio de impacto ambiental no hay ningún apartado relativo al riesgo sísmico
– En la declaración de impacto ambiental tampoco

Análisis de advertencias de riesgo

He incluido en el protocolo de toma de decisiones un apartado relativo al análisis de las advertencias de riesgo recibidas por el Consejo durante el periodo previo al proceso de formación de la voluntad societaria.

Es de vital importancia tener en cuenta estas advertencias de riesgo, ya que, si se produce un siniestro, la prueba de que la empresa ni siquiera las ha analizado puede ser decisiva en el momento de evaluar actuación y su eventual responsabilidad por parte de los tribunales, los peritos y las compañías de seguros.

También es importante valorar la existencia de evidencias que acrediten la recepción de la advertencia por parte del Consejo. Una advertencia publicada en el BOE, como en el caso  de la declaración de impacto ambiental, es una evidencia clara del conocimiento del riesgo.

La empresa debe esforzarse en estos casos en analizar a fondo la advertencia y determinar, a través de los correspondientes expertos en la materia, el nivel de probabilidad de que el riesgo se materialice y su posible impacto.

El objetivo final será determinar dónde se encuentra el umbral que diferenciará una decisión prudente de una decisión arriesgada.

Una vez finalizado el proceso de información y análisis de riesgos, el Consejo procederá a la votación de la decisión, que deberá contar con una mayoría reforzada proporcional al nivel del riesgo asumido. Y teniendo siempre en cuenta que en materia de riesgos penales no es posible hablar de apetito de riesgo.

Ficha de Compliance – Incendio en Campofrío

Breve nota sobre el incendio de ayer en la planta de Campofrío en Burgos, en forma de ficha de Compliance. La información ha sido extraída de los medios de comunicación para realizar un análisis teórico y sin la intención de valorar la actividad preventiva de la empresa.

Características del siniestro


Tipo de siniestro: Incendio
Instalaciones afectadas: Planta de Campofrío en Burgos
Número de trabajadores de la planta: más de 1.000

Riesgos asociados


Seguridad laboral: 20 trabajadores en la planta en el momento del incendio
Seguridad pública: Cercanía de un núcleo de población grande y de un hospital
Medio ambiente: Riesgo de contaminación del aire y daños en el entono natural

Circunstancias de riesgo específicas


Riesgo de que el fuego se extendiera a un gran depósito de amoníaco
Riesgo de nube tóxica de amoníaco
Riesgo de que el fuego afectara a las conducciones de amoníaco del interior de la fábrica
Activado el Plan de Emergencia Municipal
Evacuación a los vecinos de la zona.
La evacuación afectó a 400 personas aproximadamente.

Medidas aplicadas


Activación del Plan de Emergencia Municipal
Activación de la Sala de Emergencias
Actuación del cuerpo de bomberos
Corte del tráfico circundante
Evacuación de los trabajadores de la fábrica
Evacuación de los vecinos afectados
Medición de la toxicidad del aire en la zona afectada
Medición del nivel de amoníaco en suspensión
Plan de comunicación
Mensaje informativo a clientes, proveedores y consumidores
Plan de abastecimiento de emergencia del mercado
Plan para recuperar la capacidad productiva

Posibles causas


Se habla de un posible cortocircuito en una zona de paneles eléctricos
La planta no estaba en producción en el momento del incendio

Controles afectados


Sistemas de detección de incendios
Sistemas de alarmas
Sistemas de extinción automatizada de incendios
Sistemas de extinción manual de incendios
Planes de emergencia
Planes de evacuación
Mapa de controles relativo a los delitos contra el medio ambiente
Mapa de controles relativo a los delitos contra la seguridad pública
Mapa de controles relativos a los delitos contra los trabajadores y la seguridad laboral
Repositorio de evidencias

Efectos del incencio


Cuatro personas posiblemente intoxicadas por inhalación de humo
Daños materiales muy altos y posible destrucción de la planta
Posible destrucción de señalética y de evidencias de control debido a las altas temperaturas alcanzadas

Ébola y compliance

Los errores cometidos en la gestión de un desastre son comprensibles cuando nos enfrentamos a algo repentino y desconocido. Es posible que una reacción instantánea, basada en razones de extrema urgencia, impida aplicar las mínimas cautelas, que después del desastre se presentarán como las más razonables y evidentes.

También son comprensibles los errores cuando hablamos de riesgos conocidos pero difíciles de predecir y de evitar, dada la cantidad y la complejidad de los datos a analizar y el carácter aleatorio de los sucesos relacionados con el riesgo.

Pero cuando un riesgo es conocido, medible, previsible, evitable, e incluso puede ser transferido a terceros o diferido en el tiempo, tomar decisiones sin la debida información y realizar actuaciones sin aplicar las medidas preventivas establecidas puede y debe generar responsabilidades.

La crisis del ébola generada en España se ha convertido, desgraciadamente, en un caso de estudio en materia de compliance, ya que sirve para ilustrar todas las fases de la gestión de un riesgo que deben ser contempladas en un modelo de prevención y control.

No voy a analizar en este caso la posible concurrencia de un elemento de ajenidad e incluso de riesgo moral en la gestión pública, o más bien política, de una amenaza como ésta, sino el contenido del modelo teórico que se habría aplicado en un mundo ideal.

En este caso, el modelo debería incluir todos los controles asociados a la prevención de los riesgos relacionados con la salud pública, la seguridad pública y la seguridad en el trabajo, reforzados con los controles específicos del ébola.

A continuación relaciono, de manera cronológica, algunas de las enseñanzas del caso analizado que se expresan en una minúscula muestra de las medidas preventivas que podemos trasladar al mundo de la empresa con el fin de incluirlas, si no lo están ya, en un modelo teórico de prevención y control corporativo, de acuerdo con el esquema definido en el Anteproyecto de Código Mercantil y en el Proyecto de reforma del Código Penal.

Del mismo modo, las enseñanzas de los modelos empresariales de prevención y control podrían haberse aplicado desde el principio a este caso para el beneficio de toda la población.

Protocolo de toma de decisiones

Escenario real: Posible repatriación de ciudadano español contagiado por ébola.

Escenario corporativo: Una empresa debe tomar una decisión de alto riesgo

Controles que debería incluir un modelo de prevención y control corporativo:

– Solicitud de informes internos y externos
– Asesoramiento técnico especializado en el riesgo
– Asesoramiento jurídico especializado en el riesgo
– Evaluación objetiva del riesgo
– Análisis de escenarios posibles
– Análisis de alternativas
– Análisis de costes
– Balance de prioridades entre intereses individuales y colectivos
– Mayoría reforzada en el proceso de votación

Planificación

Escenario real: Traslado de enfermo de ébola a país sin antecedentes ni experiencia

Escenario corporativo: Planificación de un proyecto de alto riesgo en el que la empresa no tiene experiencia

Controles que debería incluir un modelo de prevención y control corporativo:

– Solicitud de modelos de planificación a expertos internacionales
– Contratación de expertos externos
– Políticas, normas y procedimientos
– Formación adecuada y experta para todos los miembros del equipo
– Hot line para la resolución inmediata de dudas
– Canal de comunicación de situaciones de riesgo
– Diseño de protocolos
– Plan de adecuación y actualización de protocolos
– Planes alternativos
– Planes de respuesta y emergencia
– Selección de la ubicación más adecuada
– Comisión de seguimiento
– Gabinete de crisis
– Plan de comunicación
– Plan de concienciación en relación al riesgo de alarma social desproporcionada
– Gestión de la fase posterior al proyecto
– Plan de gestión de los residuos contaminados

Formación

Escenario real: Equipo sanitario aparentemente sin experiencia ni formación adecuada

Escenario corporativo: Asignación de funciones de alto riesgo a un equipo sin experiencia ni formación adecuada

Controles que debería incluir un modelo de prevención y control corporativo:

– Formación adecuada por parte de profesionales expertos
– Plataforma de e-learning que permita las repeticiones que sean necesarias
– Contratación de personal experto que actúe como guía
– Hot line para la resolución inmediata de dudas
– Formación genérica en materia de riesgos laborales
– Formación específica en materia de riesgos asociados a las funciones asignadas
– Manual de uso de cada EPI (Equipo de protección individual)
– Formación específica en el uso de los EPIs
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
– Grabación en vídeo de los procesos críticos para conseguir trazabilidad
– Actos prohibidos
– Actos permitidos

Medidas de seguridad y protocolos

Escenario real: Medidas de seguridad y protocolos aparentemente no adaptados al riesgo del ébola.

Escenario corporativo: Medidas de seguridad proporcionadas al alto riesgo del proyecto

Controles que debería incluir un modelo de prevención y control corporativo:

– Medidas de seguridad adaptadas al riesgo de la actividad y al riesgo
– Medidas de prevención de riesgos laborales adaptadas a la actividad y al riesgo
– Protocolos actualizados
– Protocolo de adecuación y actualización del modelo de prevención
– Asimilación y difusión de la experiencia adquirida
– Estructura de control
– Nombramiento de supervisores
– Monitorización y seguimiento
– Comisión de seguimiento
– Gabinete de crisis
– Segregación de tareas
– Política de cuatro ojos
– Canal de comunicación de situaciones de riesgo
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
Equipos de protección individual homologados
– Preparación y adecuación de las instalaciones
– Zonas de descontaminación
– Identificación del personal con acceso al proyecto
– Control de todo el ciclo de vida del proyecto
– Control de la fase posterior a la finalización del proyecto
– Control de los proveedores implicados en el proyecto
– Prohibición de subcontrataciones a los proveedores
– Monitorización de la salud del equipo durante el proyecto y en la fase posterior
– Seguimiento de los plazos de incubación en contactos directos e indirectos
– Protocolos de emergencia, cuarentena y aislamiento
– Gestión adecuada de los residuos contaminados

Como he comentado, esta selección de controles es una muestra minúscula, dado el alto riesgo del proyecto, pero si todos estos puntos parecen excesivos, sólo hay que mirar las consecuencias de su incumplimiento. Como dijo Paul McNulty: “If you think compliance is expensive, try non-compliance”.

Corrupción internacional y empresas españolas: cambio legislativo

La polémica Ley Orgánica relativa a la justicia universal ha introducido la corrupción privada y pública en transacciones económicas internacionales en la lista de los delitos que, cometidos fuera del territorio nacional, son susceptibles de ser perseguidos por la jurisdicción española.

La incorporación al ordenamiento jurídico español de estos delitos se produjo en la reforma del Código Penal de 2010, pero quedaba pendiente la definición de los aspectos de jurisdicción. Esta norma se anticipa por lo tanto a la reforma del Código Penal que está discutiéndose en el Congreso de los Diputados, en la que estaba previsto incorporar estas previsiones a través del nuevo artículo 286 quinquies del proyecto.

Desde la entrada en vigor de esta ley el sábado pasado, la jurisdicción española será competente para conocer de los delitos de corrupción entre particulares o en las transacciones económicas internacionales, cuando el delito hubiera sido cometido por una persona jurídica, empresa, organización, grupos o cualquier otra clase de entidades o agrupaciones de personas que tengan su sede social o domicilio social en España.

También será competente la jurisdicción española cuando el delito hubiera sido cometido por el directivo, administrador empleado o colaborador de un a empresa mercantil, o de una sociedad, asociación, fundación u organización que tenga su sede o domicilio social en España.

Aunque la redacción no es muy acertada, y entra en una aparente contradicción con la exposición de motivos, se entiende que los delitos a los que hace referencia este cambio legislativo son, en el campo de la corrupción, los siguientes:

  1. La corrupción entre particulares, también llamada corrupción privada, que consiste en la promesa, ofrecimiento o concesión a directivos, administradores, empleados o colaboradores de una empresa mercantil o de una sociedad, asociación, fundación u organización, de un beneficio o ventaja de cualquier naturaleza no justificados para que le favorezca a él o a un tercero frente a otros, incumpliendo sus obligaciones.
  2. La corrupción en las transacciones económicas internacionales, que se refiere a los ilícitos previstos en el Convenio de la OCDE de lucha contra la corrupción de agentes públicos extranjeros en las transacciones comerciales internacionales, tal como indica la exposición de motivos.

Las empresas españolas deberán extremar los controles para evitar estas dos modalidades de corrupción, que pueden ser perseguidas en España a pesar de que el delito haya sido cometido en el extranjero.

El caso Pescanova y la gestión de modelos anticontrol

Esta semana se ha hablado mucho del informe de auditoría forense de KPMG sobre el caso Pescanova y sus conclusiones invitan a analizar los hechos desde el punto de vista de un modelo teórico, como los casos que se estudian en las universidades y las escuelas de negocios, escapando a cualquier valoración que pueda comprometer la presunción de inocencia de los imputados.

Además de los sistemas de control clásicos y de los sucesivos códigos de buen gobierno, las empresas españolas llevan tres años intentando aplicar modelos de prevención y control de delitos que en muchos casos están inspirados en los sistemas de “corporate defense” anglosajones. Esta inspiración es debida a la falta de una descripción detallada del modelo de prevención y control en el artículo 31 bis del Código Penal creado en 2010, aunque este vacío será probablemente superado en la reforma propuesta en el anteproyecto de este año.

En estos tres años hemos comprobado las enormes dificultades de implantar un modelo de control en las grandes empresas y especialmente, conseguir que se implante una cultura de control permanente en todos los niveles de la organización.

Sin embargo, cuando uno lee las conclusiones del informe de KPMG se plantea si es más difícil y sostenible en la práctica aplicar un modelo de control o un modelo de elusión del control.

Nos hemos hartado de repetir que cualquier proyecto de compliance exige la implicación y el impulso de la alta dirección de la empresa, pero ¿qué pasa cuando la alta dirección tiene su propio proyecto de no compliance? Es evidente la inutilidad de unas medidas y un órgano de control cuya autoridad emana directamente de un órgano superior que niega ese control.

Siguiendo el análisis teórico, cabe identificar las medidas anticontrol que pueden extraerse del informe y valorar si son sostenibles en el tiempo. Las características que podrían incluirse en un modelo teórico de anticontrol son las siguientes:

  1. Planificación previa y continuada en el tiempo
  2. Implicación e impulso de la alta dirección de la empresa
  3. Acuerdo en la instrucción, ejecución y validación de las operaciones
  4. Neutralización de la segregación de tareas a través de operaciones concertadas
  5. Coordinación entre Presidencia, Dirección Financiera y Auditoría Interna
  6. Implicación del máximo responsable del órgano de control

Como era de suponer, los fundamentos de un modelo teórico de anticontrol son idénticos a los de un modelo de control, pero con una finalidad absolutamente distinta, que lo hace difícil de mantener en el tiempo, dada su fragilidad. Si difícil es la aplicación de un código ético, más difícil puede ser un código de silencio en una estructura sujeta a tensiones internas y externas.

Cualquier modelo teórico como el analizado tiene varios factores claros en contra: el mercado (puedes engañar a muchos durante poco tiempo) los accionistas, los auditores, y el regulador (puedes engañar a pocos durante mucho tiempo) y la tecnología, que registra toda la actividad de la empresa como si fuese la caja negra de un avión, almacena los mensajes de correo electrónico enviados con una creencia infundada de que se autodestruirán tras su lectura, detecta la inconsistencia de las operaciones contables y ayuda a que, a pesar de la complejidad del modelo, no se pueda engañar a muchos durante mucho tiempo.