10 errores habituales en el análisis de riesgos

El proyecto de reforma del Código Penal y la certificación Iuriscert de AENOR en relación a los sistemas de prevención de delitos en las empresas dan mucha importancia al proceso de análisis de riesgos. Desde la reforma de 2010 muchas empresas han basado el diseño de su modelo de prevención y control de delitos en un mapa de riesgos elaborado internamente o a través de un consultor externo. En este artículo resumo mi opinión personal sobre los informes que he revisado y en especial, sobre los errores que, a mi modo de ver, se repetían en ellos, y que podían distorsionar los resultados.

1. Basar el análisis exclusivamente en fórmulas matemáticas

Los cálculos relativos a la probabilidad y al impacto de los riesgos analizados pueden realizarse manualmente o con el apoyo de aplicaciones y hojas de cálculo. Estas herramientas son de gran ayuda, pero no pueden ser el único soporte del análisis de los riesgos. Las fórmulas deben contener factores de ponderación que permitan ajustar los cálculos a la realidad, a través de multiplicadores y divisores que tengan en cuenta el contexto. Pero lo más importante es que el análisis lo realice un profesional especializado, que tenga conocimientos de las dinámicas comisivas, del sector al que pertenece la empresa y del factor humano, que hace que cada empresa sea distinta. Una vez obtenidos los resultados, debe aplicarse el filtro del sentido común, basado en este caso en la experiencia del profesional que firma el informe y en una visión en conjunto del análisis, que compare la valoración de cada riesgo con todos los demás, asegurando que se cumple el principio de proporcionalidad.

2. Aplicar un factor multiplicador excesivo a la existencia de un precedente

En uno de los informes revisados, que correspondía a una empresa industrial, el delito de pornografía infantil apareció en el grupo de los delitos con mayor probabilidad de comisión. Ello se debía a que el consultor había utilizado un algoritmo que aplicaba un factor multiplicador a la existencia de un precedente relativo a ese delito en la empresa. Incluso en el caso de no utilizar herramientas informáticas, la existencia de un precedente se valora excesivamente en los informes analizados. El profesional que realiza el análisis debería tener en cuenta todos los factores, y realizar un juicio de proporcionalidad, teniendo en cuenta el contexto, los restantes riesgos y la probabilidad de que el delito vuelva a cometerse. También debe tenerse en cuenta la antigüedad y las circunstancias del precedente, ya que pueden haberse producido cambios en la empresa y en las personas que participaron en él. En el caso concreto analizado, la persona que cometió el delito ya no estaba en la empresa.

3. Basar el análisis de la probabilidad exclusivamente en la opinión del cliente

Sería pecar de frivolidad aplicar a este caso la frase “los pacientes siempre mienten”del Dr. House, porque no es cierto que los clientes siempre mientan. El problema es que no son objetivos. No pueden serlo. Podríamos decir que el cliente está contaminado por las prácticas de la empresa y del sector al que pertenece y le cuesta tener una visión que se sitúe por encima de lo que está acostumbrado a ver. Tampoco conoce las dinámicas comisivas ni los factores de riesgo. Además, puede estar afectado por la “niebla de la batalla”, es decir, la dificultad para sacar conclusiones a largo plazo o de tener una visión completa de todo el escenario a causa de la constante atención que requieren los asuntos a resolver diariamente y las urgencias del negocio. En este caso incluyo en el concepto cliente al conjunto de personas entrevistadas durante el proceso de análisis de riesgos. El cliente es un gran experto en su empresa y nos va ayudar mucho a conocer sus puntos débiles, pero no puede convertirse en absoluto en la única fuente de información. El profesional debe documentarse y tener en cuenta el conocimiento que él mismo puede aportar al análisis a través de otras fuentes de información y de su propia experiencia.

4. Basar el análisis del impacto exclusivamente en la opinión del cliente

En mi opinión es un error partir exclusivamente de las respuestas del cliente para calcular el impacto económico y reputacional de la comisión de un delito en el seno de la empresa. Un área en la que los profesionales podemos aportar conocimiento es justamente en la valoración económica de las consecuencias de un delito. Los abogados, por ejemplo, podemos analizar la jurisprudencia y conocer el rango en el que se mueven las indemnizaciones por responsabilidad civil derivada de un delito. Podemos también cuantificar las multas aplicables a cada tipo penal y los distintos supuestos agravados. Asimismo, podemos apoyarnos en expertos para cuantificar el impacto de cada delito en la marcha del negocio y para analizar los posibles daños en la reputación de la empresa en el mercado, la presumible reacción de los clientes y su comportamiento en materia de pedidos. A pesar de la importancia de este trabajo casi todos los informes que he revisado basan el análisis del impacto exclusivamente en la opinión del cliente. Y después incluyen un disclaimer exonerándose de cualquier tipo de responsabilidad por los errores de valoración, ya que el análisis lo ha hecho el cliente y no ellos. Supongo que por eso se dice que se paga a los consultores para que te digan lo que ya sabes, pero lo que encuentro excesivo es que encima te lo pregunten a ti y no lo averigüen por otros canales para confirmar que las conclusiones son acertadas.

5. Utilizar al cliente como única fuente de información sin aportar valor al análisis

Este punto es una conclusión de los dos anteriores. Considero que el profesional al que se le encomienda la valoración del riesgo penal debe tener experiencia en el sector, conocimiento de las dinámicas comisivas y de los riesgos, así como fuentes de información suficientes para que su intervención en el proyecto sea valiosa y no se limite a transcribir lo que opinan los interlocutores entrevistados.

6. No tener en cuenta el factor humano y el instinto defensivo del interlocutor

Los interlocutores entrevistados tienen habitualmente escasa práctica en materia de autodianóstico y autocrítica. Además de los factores culturales, es inevitable que el entrevistado se sienta de alguna manera investigado y adopte una posición defensiva, como si de un interrogatorio se tratara. Esta reacción es muy humana y obliga a un trabajo previo de distensión y de información sobre el objetivo final del proyecto. A pesar de esta preparación previa, las repuestas del entrevistado pueden estar contaminadas por el miedo y ocultar situaciones de riesgo. También pueden centrase excesivamente en la labor preventiva realizada para justificar su trabajo. Este esfuerzo de justificación dilata mucho las entrevistas, ya que cada pregunta tiene como respuesta un arsenal de argumentos defensivos que además distorsionan los resultados. Esta es una razón más que obliga a ponderar los resultados con otras fuentes de información y con la habilidad de identificar los riesgos que han quedado ocultos a causa de las estrategias de autodefensa.

7. No apreciar el traspaso de responsabilidades entre departamentos

El efecto inmediato de la estrategia de autodefensa del entrevistado es un truco de prestidigitación que consiste en que, al acabar la entrevista, el consultor está convencido de que el riesgo se concentra en otro departamento. Esta habilidad, innata o adquirida, consciente o inconsciente, se potencia en las empresas en las que se producen duplicidades organizativas, se asignan competencias similares a distintos departamentos o bien las funciones de control no están correctamente establecidas. Un error habitual es dejarse llevar por acusaciones interdepartamentales, aunque éstas no sean evidentes. Esta maniobra de distracción hace que no se profundice en el análisis de riesgos del departamento entrevistado y que se sobrevaloren los riesgos de otros departamentos.

8. No comparar los resultados del análisis con el mapa de riesgos sectorial

Para evitar que la subjetividad en las respuestas del entrevistado nos contamine, tenemos que haber hecho antes los deberes. Lo ideal es haber elaborado un mapa de riesgos sectorial que nos sirva de referencia para comprobar si la empresa se ajusta o no al patrón y, en caso negativo, conocer las causas. Es posible que el interlocutor esté hablando constantemente en términos de riesgo residual, es decir el que permanece tras la aplicación de los controles. Valorar el riesgo en estas condiciones sería como medir el viento desde un coche en marcha. En los informes revisados no he encontrado referencia alguna a la situación de la empresa en relación al mapa de riesgos del sector.

9. Presentar los resultados sin haber aplicado el filtro del sentido común

El informe en que se consideraba altamente probable el delito de pornografía infantil en una empresa industrial no se habría llegado a presentar si se hubiese realizado un juicio previo de proporcionalidad. No es lógico que en el sector industrial la probabilidad de que este riesgo se materialice esté por encima del relativo al delito medioambiental, por ejemplo. Antes de presentar el informe a un Consejo de Administración hay que realizar una comprobación tan simple como la de someter las conclusiones finales a los principios básicos del sentido común.

10. Atribuir al cliente los errores que se produzcan en la valoración del riesgo

Y lo que considero fuera de lugar, aunque el socio que firma el informe esté atormentado por su departamento de Risk Management, es incluir un disclaimer que reconozca literalmente que no se ha hecho un análisis de riesgos sino que la labor del consultor se ha limitado a solicitar la opinión del cliente y a transcribirla en el informe, por lo que si el cliente está equivocado, la firma consultora no tiene la culpa. Considero que el cliente espera algo más de la firma a la que ha solicitado que valore sus riesgos. Cuando vamos a un centro médico de reconocido prestigio para realizar un chequeo lo último que esperamos es que el médico se limite a preguntarnos cómo nos encontramos. Nuestro cuerpo, los instrumentos de medición y los análisis clínicos son fuentes de información mucho más fiables que nuestra simple opinión no experta. Aunque nos conozcamos muy bien. El cliente confía en nuestro criterio y en un cierto nivel de implicación en la valoración de sus riesgos. Implicación que debería extenderse a la propuesta de soluciones. Pero es de suponer que el propio disclaimer habrá dejado bien claro que eso no forma parte del alcance del trabajo contratado y que hay que pedir otro informe en el que habrá otro disclaimer que exonerará de responsabilidad a la firma consultora, porque las soluciones propuestas también se basan en la información suministrada por el cliente, y no en la creatividad y el talento que cabría esperar a la vista de las facturas suministradas por la consultora.

Corrupción internacional y empresas españolas: cambio legislativo

La polémica Ley Orgánica relativa a la justicia universal ha introducido la corrupción privada y pública en transacciones económicas internacionales en la lista de los delitos que, cometidos fuera del territorio nacional, son susceptibles de ser perseguidos por la jurisdicción española.

La incorporación al ordenamiento jurídico español de estos delitos se produjo en la reforma del Código Penal de 2010, pero quedaba pendiente la definición de los aspectos de jurisdicción. Esta norma se anticipa por lo tanto a la reforma del Código Penal que está discutiéndose en el Congreso de los Diputados, en la que estaba previsto incorporar estas previsiones a través del nuevo artículo 286 quinquies del proyecto.

Desde la entrada en vigor de esta ley el sábado pasado, la jurisdicción española será competente para conocer de los delitos de corrupción entre particulares o en las transacciones económicas internacionales, cuando el delito hubiera sido cometido por una persona jurídica, empresa, organización, grupos o cualquier otra clase de entidades o agrupaciones de personas que tengan su sede social o domicilio social en España.

También será competente la jurisdicción española cuando el delito hubiera sido cometido por el directivo, administrador empleado o colaborador de un a empresa mercantil, o de una sociedad, asociación, fundación u organización que tenga su sede o domicilio social en España.

Aunque la redacción no es muy acertada, y entra en una aparente contradicción con la exposición de motivos, se entiende que los delitos a los que hace referencia este cambio legislativo son, en el campo de la corrupción, los siguientes:

  1. La corrupción entre particulares, también llamada corrupción privada, que consiste en la promesa, ofrecimiento o concesión a directivos, administradores, empleados o colaboradores de una empresa mercantil o de una sociedad, asociación, fundación u organización, de un beneficio o ventaja de cualquier naturaleza no justificados para que le favorezca a él o a un tercero frente a otros, incumpliendo sus obligaciones.
  2. La corrupción en las transacciones económicas internacionales, que se refiere a los ilícitos previstos en el Convenio de la OCDE de lucha contra la corrupción de agentes públicos extranjeros en las transacciones comerciales internacionales, tal como indica la exposición de motivos.

Las empresas españolas deberán extremar los controles para evitar estas dos modalidades de corrupción, que pueden ser perseguidas en España a pesar de que el delito haya sido cometido en el extranjero.

Decisiones basadas en información financiera incompleta

A través de la newsletter de Norberto Gallego he tenido conocimiento de un interesante artículo publicado en The Register en el que se menciona la respuesta dada por Salesforce.com al requerimiento de información hecho por la SEC norteamericana en relación a las cuentas anuales presentadas recientemente, en las que declaran unas pérdidas de 232 millones de dólares.

La empresa ha reconocido que no dispone de sistemas financieros ni de controles establecidos que les permitan cuantificar con exactitud qué porcentaje de los ingresos totales de la empresa, en un periodo fiscal determinado, provienen de las suscripciones a los servicios cloud o a cualquier otra oferta de servicios básicos.

Este tipo de carencias de control puede hacer que la información que suministra el negocio a los miembros del Consejo sea incompleta y que las decisiones adoptadas tengan un nivel de riesgo superior al permitido, o al menos, no sigan el protocolo establecido en el programa de corporate defense para la toma de decisiones de negocio.

En el proyecto de reforma del Código Penal, actualmente en el Congreso de los Diputados, se establecen, entre otros, dos requisitos que deben cumplir los modelos de organización y gestión:

  1. Deben establecer protocolos o procedimientos que concreten el proceso de formación de la voluntad de la empresa, de adopción de decisiones y de ejecución de las mismas.
  2. Deben disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

En ambos requisitos subyace la necesidad de incorporar una capa de información y de conocimiento, y una capa de control, en el proceso de toma de decisiones.

Norberto Gallego aporta datos específicos del cloud computing y especialmente del SaaS, que añaden una especial característica a la contabilización de las suscripciones a este tipo de servicios. Si se contabilizan como un ingreso diferido, a causa de la vigencia plurianual de la licencia del software, el dinero ya cobrado puede aparecer en los libros como pasivo. Y ello genera una fuente potencial de ingeniería financiera.

La falta de un control analítico adecuado de las finanzas de una empresa impide que los directivos dispongan de la información necesaria para completar adecuadamente el protocolo exigido para la toma de decisiones, pero también abre la opción de la llamada contabilidad creativa, con los consiguientes riesgos de delito.

De ahí el interés del legislador y del regulador de exigir este tipo de controles.

Indice de madurez de la empresa española en materia de corporate compliance

Nuestro despacho inicia hoy un estudio cuya finalidad es determinar el nivel de madurez de la empresa española en materia de corporate compliance. Una vez finalizado el estudio se publicará el índice de madurez, general y por sectores, que será actualizado cada año.

El estudio va enfocado a conocer la capacidad de la empresa para demostrar que realmente dispone de un modelo eficaz de prevención y control de delitos, más allá del habitual esfuerzo cosmético del llamado “makeup compliance”.

Para participar en el estudio sólo hay que descargar y cumplimentar este cuestionario:

Cuestionario Estudio IM2014

INSTRUCCIONES

1. Para cumplimentar este cuestionario sólo hay que introducir 1, 2 ó 3 en las casillas correpondiente de la columna G (señalada en amarillo)

2. Una vez cumplimentado el cuestionario rogamos que lo envíen a la dirección indicada en el cuestionario. Sólo se aceptarán los cuestionarios enviados desde direcciones de correo electrónico cuyo nombre de dominio contenga el nombre de la empresa que haya contestado el cuestionario.

3. La finalidad y los resultados del estudio son meramente estadísticos y se publicarán sin mencionar el nombre de las empresas participantes en el mismo.

4. El índice de madurez en relación a cada delito será adaptado utilizando la variable sector como factor de corrección.

Agradecemos de antemano la participación en el estudio.

Compliance officer o cómplice officer (Primera parte)

El proyecto de reforma del Código Penal, que parece haber cobrado un nuevo impulso con el fin de la doctrina Parot y la lucha contra la corrupción, incluye tres menciones expresas al órgano de vigilancia y control orientado a prevenir la comisión de delitos.

  • La primera, en el artículo 31bis, al incluir en la lista de condiciones necesarias para la exención de la responsabilidad penal corporativa, la supervisión del funcionamiento y del cumplimiento del modelo de prevención por parte de un órgano de la persona jurídica con poderes autónomos de iniciativa y control.
  • La segunda, en el mismo artículo, al incluir como uno de los requisitos del modelo de organización y gestión, la obligación de informar de posibles riesgos e incumplimientos al órgano encargado de vigilar el funcionamiento y observancia del modelo de prevención.
  • La tercera, en el nuevo artículo 286 seis, al incluir la contratación, selección cuidadosa y responsable (culpa in eligendo), así como la vigilancia (culpa in vigilando) del personal de inspección y control, como una de las medidas de vigilancia y control cuya omisión puede generar responsabilidad penal para el directivo responsable de su aplicación.

En la práctica, este órgano suscita una serie de cuestiones que analizamos a continuación y entre las que destaca la que inspira el título a este artículo, es decir la responsabilidad de este órgano en caso de delito.

Nuevo departamento vs. departamento ya existente

Las funciones que el proyecto asigna al órgano de vigilancia y control están repartidas en la actualidad en diversos departamentos o comités:

  1. Comité de Ética
  2. Auditoría Interna
  3. Control Interno
  4. Asesoría Jurídica
  5. Cumplimiento Normativo

Estas funciones de vigilancia y control se dividen en tres grupos:

  1. Control anterior a la infracción (control preventivo)
  2. Control posterior a la infracción (control detectivo)
  3. Función sancionadora, complemento necesario para la eficacia del control

Sin embargo, en el momento de la distribución de estas funciones, estos tres grupos no quedan bien definidos y pueden ser asignados a varios departamentos a la vez o quedar sin asignar.

El Comité de Ética es el destinatario habitual de las denuncias relativas a posibles incumplimientos del código ético a través del correspondiente canal de denuncias, y es también el que investiga, delibera y sanciona dicho incumplimiento. En realidad propone la sanción y RRHH la impone. Pero la función del Comité de Ética es predominantemente reactiva, es decir, acostumbra a actuar cuando llega la denuncia, sin perjuicio de las campañas de sensibilización que pueda organizar. En cambio, el proyecto exige una labor más proactiva, más cercana a la función de control interno o de auditoría interna, pero mucho más intensa, y no limitada a los delitos estrictamente económicos. Ello hace pensar que el proyecto habla de dos órganos distintos uno proactivo y emisor de denuncias y otro reactivo y receptor de denuncias. Por otro lado, el objetivo de los departamentos con funciones de control ha sido hasta ahora proteger a la empresa del fraude interno y de las amenazas en las que la empresa es la víctima, mientras que la finalidad de los programas de corporate defense es prevenir la responsabilidad penal de la empresa en los delitos en los que la víctima es un tercero. Lo mismo sucede con los programas de D&O defense en relación a los cargos directivos.

Por otro lado está la función de los departamentos de Asesoría Jurídica y de Cumplimiento Normativo, este último muy próximo en su nomenclatura  al Compliance Officer, pero no tanto en su encaje en la taxonomía que parece proponer la doctrina al comparar el modelo anglosajón con el propuesto en la reforma.

Por otra parte, tanto las funciones como las denominaciones de los departamentos no son uniformes en todas las empresas y sectores, por lo que, si queremos realizar un análisis comparativo entre varias empresas, más que hablar de departamentos tendremos que hablar de funciones.

Entiendo que el camino lógico a seguir en una empresa tras la aprobación de la reforma del Código Penal sería:

  1. Identificar las funciones de supervisión y control establecidas en el texto que finalmente se apruebe, integrándolas en el modelo de organización y gestión.
  2. Analizar cómo están repartidas en ese momento estas funciones en los diversos departamentos y comisiones de la empresa.
  3. Decidir si debe crearse un nuevo cargo, un nuevo departamento o una comisión que incorpore a las personas que actualmente realizan las funciones identificadas en distintos departamentos.

Lejos del debate científico sobre si la función origina el órgano o el órgano crea la función, que en el mundo de la gran empresa puede llegar a cobrar matices kafkianos, es evidente que en este caso la función de vigilancia y control viene determinada y exigida por una Ley Orgánica y que de ella deriva la creación del órgano que debe desarrollar esta función.

Cargo unipersonal vs. órgano colegiado

En función de las decisiones adoptadas por la empresa en relación al punto anterior, podrán asignarse las funciones a una sola persona o a un equipo. Aunque el proyecto habla de órgano, nada impide que se trate de un cargo unipersonal, aunque, en mi opinión, lo más aconsejable es que sea un órgano colegiado, ya que los requisitos que tiene que cumplir no acostumbran a estar reunidos en una sola persona. También puede tratarse de una única persona que se apoye en los expertos internos y externos de cada materia, con los que la empresa ya cuenta habitualmente.

Entre los factores que aconsejan una puesta clara por un órgano colectivo destacan las siguientes:

  1. La gran carga de trabajo a realizar.
  2. El enfoque multidisciplinar.
  3. La gran variedad de conocimientos exigidos.
  4. La capacidad para actuar, contar con aliados y conseguir la ejecución de las decisiones y las medidas adoptadas en los departamentos afectados.

Parece evidente que el legislador no piensa en un hombre orquesta con múltiples tentáculos e inteligencias, saber enciclopédico y don de la ubicuidad. Aunque la función de dirección y coordinación del equipo debe recaer en una sola persona, parece recomendable que se apoye en un grupo de expertos con capacidad de actuación en los departamentos afectados.

Pensemos que la labor de este órgano debe estar apoyada en un procedimiento sancionador, por lo que será conveniente que las deliberaciones vayan revestidas de las garantías que ofrece un órgano plural. Por ello habrá que decidir si la función de valoración y sanción de infracciones (control posterior a la infracción) debe permanecer en un comité de ética y las de prevención y vigilancia (control anterior a la infracción) en un órgano de control que sería el compliance officer. Esta opción se ajustaría más al principio de segregación de tareas y preservaría la independencia entre el órgano que coordina las medidas de control y el que sanciona su incumplimiento.

Otra posibilidad sería enlazar los protocolos de vigilancia y control con las normas de buen gobierno corporativo, asignando la máxima responsabilidad del control a un consejero independiente que coordinaría la labor de una comisión interdepartamental  que a su vez asumiría todas las funciones de vigilancia y control.

Responsable penal vs. simple coordinador del control

El artículo 11 del Código Penal establece que los delitos que consistan en la producción de un resultado sólo se entenderán cometidos por omisión cuando la no evitación del mismo, al infringir un especial deber jurídico del autor, equivalga, según el sentido del texto de la Ley, a su causación. A tal efecto, se equiparará la omisión a la acción cuando exista una específica obligación legal o contractual de actuar o cuando el omitente haya creado una ocasión de riesgo para el bien jurídicamente protegido mediante una acción u omisión precedente.

El artículo 316 del Código Penal establece un supuesto específico de responsabilidad penal para los que, con infracción de las normas de prevención de riegos laborales y estando legalmente obligados, no establezcan las medidas preventivas necesarias para evitar accidentes laborales. Y el artículo 318 impone la pena señalada para los delitos atribuidos a personas jurídicas a los administradores o encargados del servicio. Estos dos artículos, ampliamente analizados en la Circular 4/2011 de la Fiscalía General del Estado, contemplan un supuesto específico en el que la responsabilidad penal derivada de la omisión del deber de control puede recaer en una persona física.

Todo parece indicar que la clave está en la delegación del control y en la asignación legal o contractual de un deber de control. Esta delegación se produce en la línea del negocio, es decir, desde el Consejo de Administración al responsable del departamento o la unidad de negocio en la que puede originarse el riesgo, y en la que debe establecerse por lo tanto el control. El control debe estar cerca de riesgo, y debe ser un control experto. Me refiero a que no puede pretenderse que el compliance officer tenga un conocimiento omnicomprensivo que le permita realizar un control realmente experto del cumplimiento de las medidas de prevención.

Es importante por lo tanto analizar la línea de delegación, ya que el deber jurídico del control, como establece el artículo 11 del Código Penal, puede provenir de una obligación legal o de una obligación contractual. Y es justamente la delegación de la función de control a un directivo concreto, en el marco de la relación contractual que lo une a la empresa, la que puede hacer atribuible el deber jurídico de control y la responsabilidad penal a un cargo que no ostente la representación legal de la empresa. Por tanto, cabría la posibilidad de que al compliance officer se le asignasen obligaciones de control suficientes para atribuirle, conscientemente o no, las responsabilidad penal de la omisión del control o de un control deficiente, y esa delegación de obligaciones es la que habrá que analizar con detalle tanto en el momento del nombramiento como en el momento de la depuración de las responsabilidades.

En mi opinión, el deber de control debería residir en la línea de negocio, distribuido entre los distintos directivos con funciones de control, y el compliance officer, como órgano unipersonal o colegiado, debería realizar una supervisión transversal de dicho control, como así se establece en el proyecto.

El nuevo artículo 286 seis previsto en el proyecto atribuye la responsabilidad penal de la omisión de las medidas de vigilancia y control al representante legal o administrador de hecho o de derecho de la empresa.  Dentro de estas medidas de vigilancia se incluye la contratación, la selección cuidadosa y responsable y la vigilancia del personal de inspección y control. Ello significa que la responsabilidad penal derivada de la omisión de las medidas de prevención y control corresponde al representante legal y que el compliance officer forma parte del personal de inspección y control que el representante legal debe contratar. Pero, como decía antes, podría darse el caso de que el representante legal delegase este deber de control en el compliance officer y éste asumiese la responsabilidad penal derivada de la omisión del control. Por eso habrá que ver qué posición ocupa exactamente este órgano en la línea jerárquica y en la estructura de control de la empresa, ya que si el compliance officer no está integrado en la cadena de mando, sino en una posición colateral de supervisión, no debería atribuírsele responsabilidad alguna, salvo en los casos que más adelante comentaré.

Estructura de capas

Las reflexiones del punto anterior me llevan a pensar en una estructura de capas en las que se distribuyen las distintas funciones y responsabilidades asociadas al control. Estas capas son independientes de la estructura jerárquica, en el sentido que el beneficio de su existencia se obtiene del efecto acumulativo de todas ellas.

  1. CAPA DE RESPONSABILIDAD.- Está formada por la representación legal de la empresa, es decir, el Consejo de Administración o los Administradores de hecho o de derecho. De ella emanan las normas y protocolos que el personal deberá cumplir.
  2. CAPA DE RESPONSABILIDAD DELEGADA.- Está formada por los directivos de la línea de negocio y la cadena de mando que por ley o por delegación contractual asumen obligaciones de control. Es el máximo exponente del control en la actividad cotidiana de la empresa.
  3. CAPA DE COORDINACIÓN Y SUPERVISIÓN.- Está formada por el compliance officer, como órgano unipersonal o colegiado encargado de comprobar que los controles son eficaces a través de tareas rutinarias y de investigaciones internas. Incluye también la labor de formación y sensibilización.
  4. CAPA DE EXPERTOS.- Está formada por los distintos expertos internos y externos que la empresa utiliza habitualmente para obtener asesoramiento en las distintas materias que requieren una especialización. Por ejemplo: medioambiente, seguridad informática, riesgos laborales, etc. La supervisión del control deberá basarse en la capa de conocimiento de estos expertos para poder analizar y valorar los riesgos y para identificar, seleccionar, aplicar y contrastar la eficacia de los controles. Entre los expertos se incluirán los abogados penalistas, que aportarán su conocimiento y experiencia sobre la dinámica comisiva del delito, los elementos del tipo penal, el tratamiento jurisprudencial y los argumentos de defensa, con el objetivo de dotar de contenido y eficacia a la labor de preconstitución de la prueba.
  5. CAPA DE PRUEBA.- Está formada por los expertos que apoyan al compliance officer en la obtención y custodia de las evidencias que acreditan la existencia y la eficacia del control.
  6. CAPA SANCIONADORA.- Está formada por el Comité de Ética, que recibe las denuncias del canal y del compliance officer, y delibera y propone las sanciones, así como por el departamento de RRHH, que las impone. Es posible que en algunas empresas la función del Comité de Ética se integre en el órgano de supervisión, es decir en el compliance officer. De hecho, este órgano aparece en el proyecto como receptor de denuncias y no como emisor de las mismas. Por ello debe contemplarse la posibilidad de mantener estas funciones repartidas en dos órganos o unificarlas en uno solo, con las correspondientes cautelas en materia de independencia y segregación de funciones que he comentado antes.

Función interna vs. función externalizada

Un problema común a todas las empresas en la actualidad es la escasez de recursos, derivada de un estricto control presupuestario. Ello hace pensar en la posibilidad de que algunas de las funciones correspondientes al compliance officer puedan ser externalizadas. También puede hablarse de un “implant”, como sucede en el caso de Data Privacy Officer (DPO).

Teniendo en cuenta que en el proyecto actual la existencia de este órgano de supervisión y control es una de las medidas exigidas para evitar la responsabilidad personal de los representantes legales de la empresa, la externalización puede ser una alternativa a considerar.

Las ventajas de la externalización son claras:

  1. Mayor objetividad en el control.
  2. Independencia.
  3. Mayor respeto (menos confianzas) a un profesional externo que a un interno.
  4. Mayor aceptación de un control externo que de un control interno.
  5. Nivel de especialización más alto.
  6. Supervisión del trabajo por el socio responsable (política de cuatro ojos).
  7. Aprovechamiento de la experiencia obtenida en otros clientes.
  8. Secreto profesional y acuerdos de confidencialidad.
  9. Seguro de Responsabilidad Civil profesional.
  10. Sustitución en caso de baja.
  11. Ahorro de costes.

En el caso de no apostar por la externalización, lo menos recomendable sería crear un departamento sobredimensionado, ya que, como he dicho antes, el compliance officer puede apoyarse perfectamente en los distintos expertos internos y externos que habitualmente asesoran a la empresa en las materias de fondo.

Finalmente, cabe decir que, en mi opinión, la responsabilidad penal no es externalizable. Al menos en términos generales. El control es inherente a la representación legal y debe estar cerca de la fuente que origina el riesgo, revestido de una capa de conocimiento de la empresa que difícilmente puede llegar a tener un profesional externo. No obstante, cabe la posibilidad de que un profesional externo asuma responsabilidad penal por la vía de la delegación contractual del deber de control y por la vía de la representación legal, asumiendo poderes de la empresa o participando en el Consejo como consejero. Todo ello siempre que no se produzca una delegación instrumental de la función de control a un “responsable penal profesional”, es decir, a alguien que cobre por asumir las consecuencias de la omisión del control.

Finalmente, el conocimiento de la empresa puede llegar a adquirirse con los años y con el apoyo de los expertos internos y de los responsables de cada control.

Funciones del compliance officer

Entre las funciones del compliance officer como órgano de supervisión y control destacaría las siguientes:

  1. Evaluación continua de riesgos basada en los expertos internos y externos.
  2. Evaluación periódica del código ético y del modelo de prevención y control.
  3. Evaluación continua de los controles y de su eficacia.
  4. Identificación de carencias.
  5. Propuestas de mejora y actualización del modelo.
  6. Alerta sobre posibles riesgos.
  7. Denuncia de infracciones al Comité de Ética, en su caso.
  8. Propuesta de sanciones a RRHH en el caso de asumir las funciones del Comité.

Compliance officer o cómplice officer

Como conclusión de las reflexiones sobre las principales cuestiones que la figura del compliance officer suscita en el proyecto de reforma del Código Penal, y de forma independiente a las decisiones que cada empresa adopte en relación a los puntos comentados, en mi opinión, el nivel de responsabilidad penal del compliance officer dependerá principalmente de los siguientes factores:

  1. El nivel de delegación al compliance officer por parte del Consejo o de la representación legal de la empresa en cualquiera de sus formas, de la función de control.
  2. El traspaso o no de poderes.
  3. La existencia de un deber contractual de control.
  4. La existencia de una ley que le asigne un deber de control.
  5. El alcance de la actividad de control encomendada.
  6. El carácter previo o posterior a la infracción de la función de control asignada.
  7. El nivel de independencia con el que desarrolle su función.
  8. La diligencia demostrada en la prevención.
  9. La pruebas acumuladas a lo largo de su actividad que acrediten el control efectivo.
  10. El nivel de complicidad o implicación en los actos delictivos.
  11. La concurrencia de una tolerancia dolosa.
  12. La actividad desarrollada tras el descubrimiento del delito.
  13. El nivel de reparto o distribución de las funciones de control entre los distintos directivos y departamentos de la empresa.

Téngase en cuenta que, aunque el compliance officer es el especialista del control, su función es transversal y que las obligaciones de control están repartidas entre los distintos directivos de la empresa. Por ejemplo: al CIO corresponderán los controles tecnológicos, al CISO los controles en materia de seguridad, al CFO los controles financieros, al DPO los controles en materia de privacidad y protección de datos, y así sucesivamente hasta completar todo el organigrama de control.

En conclusión, cada directivo tendrá sus obligaciones de control y el compliance officer será el que verifique el cumplimiento de dichas obligaciones y la eficacia del control en todos los niveles de la empresa, limitándose su responsabilidad a la esfera laboral, salvo que concurran circunstancias que modifiquen su nivel de implicación en el control o en el delito.

Este artículo es especialmente extenso porque es la base de un manual del compliance officer que estamos preparando en el despacho, por lo que agradeceré cualquier aportación que contribuya a completar el rol de este órgano.

Mapa de controles y evidencias del control – Delito de corrupción

En el Boletín Oficial del Congreso de los Diputados del pasado 4 de octubre se publicó el Proyecto de Ley Orgánica de reforma del Código Penal (PDF), que confirma la importancia que tiene la prueba de la actividad de prevención y control previa a la comisión del delito e introduce el nuevo delito de omisión de medidas de control por parte de los directivos.

Nuestro despacho inicia hoy la publicación de una colección de mapas de controles y evidencias del control con el fin de ayudar a las empresas a cumplir los requisitos de prueba previstos en el proyecto para conseguir la exención de la responsabilidad penal por parte de las empresas y los directivos.

Este documento consiste en una hoja Excel con la lista de controles destinados a prevenir y detectar un delito concreto. Incluye la lista de evidencias a obtener para acreditar la existencia de cada control antes de la eventual comisión de un delito, así como la eficacia de dicho control.

El mapa de controles y evidencias publicado hoy corresponde a los delitos asociados a la corrupción pública, privada e internacional así como al tráfico de influencias.

El documento persigue los siguientes objetivos:

  • Identificar y seleccionar los controles que la empresa debe aplicar para prevenir y detectar este delito.
  • Identificar y seleccionar las pruebas que acrediten que los controles existen y son eficaces.
  • Identificar las posibles carencias de la empresa en materia de prevención y control.
  • Identificar riesgos no previstos por la empresa en su proyecto de corporate defense.
  • Conocer los controles que la empresa no está aplicando y que debería aplicar.
  • Ahorrar costes en un proyecto de corporate defense, al orientarlo directamente a las evidencias.
  • Dotar de un instrumento de gestión eficaz a las empresas que han decidido desarrollar internamente su proyecto de corporate defense.
  • Ayudar a la empresa a la preparación del “defense file” y el repositorio de evidencias del debido control.
  • Cumplir los requisitos establecidos para la exención de responsabilidad penal de las empresas.
  • Cumplir los requisitos establecidos para la exención de responsabilidad penal de los directivos en relación al nuevo delito de omisión de medidas de prevención y control previsto en el proyecto.

El mapa de controles y evidencias puede ir acompañado de los siguientes servicios:

  • Bolsa de horas de asesoramiento jurídico.
  • Sellado de tiempo de las evidencias para acreditar el momento de su creación.
  • Repositorio de evidencias online y offline.

Puede solicitar más información sobre el contenido y el precio de este documento a xavier.ribas@ribastic.com

 

El caso Pescanova y la gestión de modelos anticontrol

Esta semana se ha hablado mucho del informe de auditoría forense de KPMG sobre el caso Pescanova y sus conclusiones invitan a analizar los hechos desde el punto de vista de un modelo teórico, como los casos que se estudian en las universidades y las escuelas de negocios, escapando a cualquier valoración que pueda comprometer la presunción de inocencia de los imputados.

Además de los sistemas de control clásicos y de los sucesivos códigos de buen gobierno, las empresas españolas llevan tres años intentando aplicar modelos de prevención y control de delitos que en muchos casos están inspirados en los sistemas de “corporate defense” anglosajones. Esta inspiración es debida a la falta de una descripción detallada del modelo de prevención y control en el artículo 31 bis del Código Penal creado en 2010, aunque este vacío será probablemente superado en la reforma propuesta en el anteproyecto de este año.

En estos tres años hemos comprobado las enormes dificultades de implantar un modelo de control en las grandes empresas y especialmente, conseguir que se implante una cultura de control permanente en todos los niveles de la organización.

Sin embargo, cuando uno lee las conclusiones del informe de KPMG se plantea si es más difícil y sostenible en la práctica aplicar un modelo de control o un modelo de elusión del control.

Nos hemos hartado de repetir que cualquier proyecto de compliance exige la implicación y el impulso de la alta dirección de la empresa, pero ¿qué pasa cuando la alta dirección tiene su propio proyecto de no compliance? Es evidente la inutilidad de unas medidas y un órgano de control cuya autoridad emana directamente de un órgano superior que niega ese control.

Siguiendo el análisis teórico, cabe identificar las medidas anticontrol que pueden extraerse del informe y valorar si son sostenibles en el tiempo. Las características que podrían incluirse en un modelo teórico de anticontrol son las siguientes:

  1. Planificación previa y continuada en el tiempo
  2. Implicación e impulso de la alta dirección de la empresa
  3. Acuerdo en la instrucción, ejecución y validación de las operaciones
  4. Neutralización de la segregación de tareas a través de operaciones concertadas
  5. Coordinación entre Presidencia, Dirección Financiera y Auditoría Interna
  6. Implicación del máximo responsable del órgano de control

Como era de suponer, los fundamentos de un modelo teórico de anticontrol son idénticos a los de un modelo de control, pero con una finalidad absolutamente distinta, que lo hace difícil de mantener en el tiempo, dada su fragilidad. Si difícil es la aplicación de un código ético, más difícil puede ser un código de silencio en una estructura sujeta a tensiones internas y externas.

Cualquier modelo teórico como el analizado tiene varios factores claros en contra: el mercado (puedes engañar a muchos durante poco tiempo) los accionistas, los auditores, y el regulador (puedes engañar a pocos durante mucho tiempo) y la tecnología, que registra toda la actividad de la empresa como si fuese la caja negra de un avión, almacena los mensajes de correo electrónico enviados con una creencia infundada de que se autodestruirán tras su lectura, detecta la inconsistencia de las operaciones contables y ayuda a que, a pesar de la complejidad del modelo, no se pueda engañar a muchos durante mucho tiempo.

La exención de la responsabilidad penal corporativa en la futura reforma del Código Penal

El anteproyecto de reforma del Código Penal elaborado por el Ministerio de Justicia detalla los requisitos que deben cumplir los modelos de prevención y control (Corporate defense) para que las empresas queden exentas de responsabilidad penal.

El texto recoge y desarrolla el criterio manifestado en la Circular 1/2011 de la Fiscalía General del Estado en relación al llamado “makeup compliance”, representado por protocolos escritos y modelos teóricos que se limitan a describir los sistemas de control y prevención de delitos diseñados, y en muchos casos no aplicados, por las empresas para eludir la responsabilidad penal.

REQUISITOS PARA LA EXENCIÓN DE RESPONSABILIDAD PENAL

La empresa podrá quedar exenta de responsabilidad si prueba que se dan las siguientes circunstancias:

1. Disponer de un modelo de organización y gestión adoptado por el órgano de administración

2. Que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza que los cometidos

3. El modelo de prevención y control debe haber sido ejecutado con eficacia

4. Antes de la comisión del delito

5. Debe existir una supervisión del funcionamiento y del cumplimiento del modelo de prevención

6. Asignada a un órgano de la empresa con poderes autónomos de iniciativa y control

7. El autor del delitos tiene que haber eludido de forma fraudulenta las medidas de control

8. No tiene que haberse producido una omisión o un control insuficiente por parte del órgano de supervisión. Se confirma por lo tanto nuestro criterio de que la tolerancia equivale a la derogación del control

9. Si estos requisitos sólo pueden ser acreditados parcialmente, ello será valorado a los efectos de atenuación de la pena, pero no habrá exención de la responsabilidad penal. Se refuerza por lo tanto la necesidad de disponer de medios de prueba que acrediten la efectiva aplicación de las medidas de prevención y control.

REQUISITOS DE LOS MODELOS DE PREVENCIÓN

Los modelos de prevención y control dirigidos a prevenir los delitos de los representantes legales y de los directivos deberán cumplir los siguientes requisitos:

1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Los modelos de prevención y control dirigidos a prevenir los delitos de los trabajadores deberán cumplir los siguientes requisitos:

1. Las medidas de prevención y control deberán:

  • Estar adaptadas al tamaño de la empresa
  • Estar adaptadas al tipo de actividades que se llevan a cabo
  • Garantizar el desarrollo de la actividad empresarial conforme a la Ley
  • Permitir la detección rápida y prevención de situaciones de riesgo

2. El funcionamiento eficaz del modelo de prevención requerirá:

  • Una verificación periódica del mismo
  • Una modificación cuando se produzcan infracciones relevantes de sus disposiciones
  • Una actualización cuando se produzcan cambios relevantes en la organización, en la estructura de control o en la actividad desarrollada
  • Un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención

CONCLUSIONES

Si la reforma prevista del Código Penal mantiene este texto se habrá producido una ampliación clara de los requisitos exigidos para la exención de la responsabilidad penal de las empresas y será necesaria una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica.