¿QUÉ ES EL “COMPLIANCE PROGRAM” O SUPERVISIÓN DEL FUNCIONAMIENTO Y DEL CUMPLIMIENTO DEL MODELO DE PREVENCIÓN?

Son las medidas de vigilancia y control idóneas para prevenir delitos o para reducir de forma significativa el riesgo de su comisión.

¿QUIÉN HACE EL COMPLIANCE PROGRAM? ¿QUIÉN ES EL COMPLIANCE OFFICER?

Es un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica (el Compliance Officer).

SUPUESTOS DE EXENCIÓN DE RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS.

Los supuestos de exención de responsabilidad penal de las personas jurídicas son:

• Que el órgano de administración haya adoptado y ejecutado con eficacia, antes de la comisión del delito, un Compliance Program que incluyan las medidas de vigilancia y control idóneas para prevenir delitos o para reducir de forma significativa el riesgo de su comisión.
• Que la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado haya sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica (el Compliance Officer).
• Que los autores individuales hayan cometido el delito eludiendo fraudulentamente el Compliance Program.
• Que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del Compliance Officer.

REQUISITOS QUE DEBEN CUMPLIR LOS COMPLIANCE PROGRAMMES 

Los requisitos que deben cumplir los Compliance Programmes son los siguientes:

• Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
• Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.
• Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.
• Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.
• Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.
• Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.


a. Medidas de vigilancia y control idóneas para prevenir delitos.

Se exige al órgano de administración que haya adoptado y ejecutado con eficacia, antes de la comisión del delito, un Compliance Program, el cual debe contener las medidas de vigilancia y control idóneas para prevenir delitos o para reducir de forma significativa su comisión.

b. Procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales. 

La persona jurídica deberá establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo específico establecidos

c. Los Compliance Programmes deben ser claros, precios, eficaces y redactados por escrito. 

A criterio de la Fiscalía, los Compliance Programmes deben ser claros, precios, eficaces y redactados por escrito; toda vez que deben estar perfectamente adaptados a la empresa y a sus concretos riesgos, rechazando el que las compañías se limiten a adaptar –o directamente copiar– otros Compliance Programmes ya elaborados para otras empresas, a fin de reducir costes.

d. Altos estándares éticos. 

Los protocolos y procedimientos de formación de la voluntad de la persona jurídica, de adopción y de ejecución de decisiones deben garantizar altos estándares éticos, de manera singular en la contratación y promoción de directivos y en el nombramiento de los miembros de los órganos de administración

Aunque la comisión del delito puede interpretarse como una inicial muestra de la ineficacia del modelo, lo cierto es que no puede descalificarse por ello automáticamente un Compliance Program por inefectivo. El delito no invalida necesariamente el Compliance Program, que puede haber sido diseñado e implementado adecuadamente sin llegar a tener una eficacia absoluta

e. Recursos financieros adecuados para dotar de eficacia a los Compliance Programmes. 

Atribución de los recursos financieros adecuados para dotar de eficacia a los Compliance Programmes y evitar comisión de los delitos que deben ser prevenidos.

f. Canales de denuncia de incumplimiento internos o de actividades ilícitas.

Los Compliance Programmes, además de tener eficacia preventiva, deben posibilitar la detección de conductas criminales. También deben establecerse canales de denuncia de incumplimiento internos o de actividades ilícitas, garantizando la protección del denunciante, dada la singularidad de este tipo de denuncias y las eventuales consecuencias de, que de la misma, puedan plantearse los denunciantes.

g. Sistema disciplinario que sancione el incumplimiento del Compliance Program.

Se exige el establecimiento de un sistema disciplinario que sancione el incumplimiento del Compliance Program.

h. Regular los plazos y el procedimiento de revisión. 

Un adecuado Compliance Program tiene que regular los plazos y el procedimiento de revisión, al margen de su fiscalización cuando se den circunstancias que puedan influir en el mapa de riesgos contemplado (p.e.: modificaciones del CP que afecten a la actividad de la persona jurídica).

EL COMPLIANCE OFFICER

La Fiscalía considera que el Compliance Officer que supervise el Compliance Program deberá ser creado específicamente para asumir dicha función salvo en aquellas entidades en las que, por ley, ya se encuentra previsto para verificar la eficacia de los controles internos de riesgos de la persona jurídica (p.e.: empresas de servicios de inversión).

El Compliance Officer debe disponer de poderes autónomos de iniciativa y control; y, dependiendo del tamaño de la empresa, podrá estar constituido por una o varias personas, pero con la suficiente formación y autoridad.

El CP no establece las funciones que debe desarrollar el Compliance Officer pero, según la Fiscalía, deberá de participar en la elaboración del Compliance Program y asegurar su buen funcionamiento, estableciendo sistemas apropiados de auditoría, vigilancia y control, debiendo contar con personal con los conocimientos y experiencia profesional suficientes, disponer de los medios técnicos adecuados y tener acceso a los procesos internos, información necesaria y actividades de las entidades para garantizar una amplia cobertura de la función que se le encomienda. La Fiscalía remite, a título ilustrativo, a la Norma 5ª de las Circulares 6/2009 y 1/2014 de la Comisión Nacional del Mercado de Valores para definir el contenido de la función del Compliance Officer.

El Compliance Officer debe ser un órgano propio de la persona jurídica –según la Fiscalía, creado «ad hoc» al efecto–, pero sin que ello signifique que deba realizar todas las tareas configuradoras de su función ya que algunas de estas tareas pueden realizarse por otros órganos, internos (p.e.: departamento de prevención de riesgos o el departamento de prevención de blanqueo de capitales) o externos (p.e.: la gestión del canal de denuncias o la formación de los directos en materia del Compliance Program). Lo importante, según la Fiscalía, es que existe un órgano responsable de la función de cumplimiento normativo.

Además, el Compliance Officer también deberá vigilar al propio órgano de administración y, por otra parte, se deberán prever mecanismos de control para gestionar los conflictos de intereses que puedan surgir entre el órgano de administración y el Compliance Officer.

Finalmente, en relación con la responsabilidad penal del Compliance Officer, la Fiscalía señala que éste puede, con su actuación delictiva, transferir la responsabilidad penal a la persona jurídica a través del supuesto previsto en el art. 31bis.1.a) CP, porque al ostentar facultades de organización y control, está incluido en ese supuesto. Además, la omisión del control al subordinado puede llevarle a él mismo a ser penalmente responsable del delito cometido por el subordinado. De hecho, según el criterio de la Fiscalía, si es el Compliance Officer quien omite gravemente el deber de control, la persona jurídica, en ningún caso, quedará exenta de responsabilidad penal.

EL RÉGIMEN ESPECIAL DE LAS PERSONAS JURÍDICAS DE PEQUEÑAS DIMENSIONES PYMES.

El art. 31bis.3 CP contiene un régimen especial para las personas jurídicas de pequeñas dimensiones, consideradas como tales, con arreglo a un criterio contable, aquellas sociedades autorizadas a presentar cuenta de pérdidas y ganancias abreviada. La única especialidad que el Legislador dispensa a estas entidades consiste en eximirlas del cumplimiento de la condición segunda del apartado anterior, de modo que las funciones del Compliance Officer las desempeñe directamente el órgano de administración. Se mantiene, por lo tanto, la obligación de adoptar los Compliance Programmes, con los requisitos contemplados en el art. 31bis.5 CP.

Las personas jurídicas de pequeñas dimensiones podrán demostrar su compromiso ético mediante una razonable adaptación a su propia dimensión de los requisitos formales del art. 31bis.5 CP, en coherencia con las menores exigencias que estas sociedades tienen también desde el punto de vista contable, mercantil y fiscal. La Fiscalía aconseja, atendiendo a las especiales características de estas sociedades, extremar la prudencia en su investigación, a fin de evitar una inconstitucional situación en base al principio de que "nadie puede ser juzgado dos veces por el mismo delito", «non bis in ídem».

ADECUACIÓN Y EFICACIA DE LOS COMPLIANCE PROGRAMMES.   

La Fiscalía afirma que no es tarea fácil definir unos criterios uniformes aplicables a los diferentes tipos de sociedades, habida cuenta de su distinta organización, modelos de negocio, naturaleza y extensión de sus transacciones, sus productos o servicios o sus clientes. No obstante lo cual, sí proporciona unos primeros criterios interpretativos que tienen como objetivo valorar la adecuación y eficacia de los Compliance Programmes. 

Dichos criterios son los siguientes:

• La regulación de los Compliance Programmes debe interpretarse de manera que el régimen de RPPJ no quede vacío de contenido y sea de imposible apreciación en la práctica. Ha de evitarse, por lo tanto, que la mera adopción de los Compliance Programmes constituya un salvoconducto para la impunidad de la persona jurídica blindándola, no solo por los actos de las personas de menor responsabilidad en la empresa sino también por los de quienes la administran, representan y hasta diseñan y vigilan la observancia de tales programas.
• Los Compliance Programmes no solo tienen por objeto evitar la sanción penal de la empresa sino promover una verdadera cultura ética empresarial. Por eso, la clave para valorar su verdadera eficacia no radica tanto en la existencia de un programa de prevención sino en la importancia que tiene en la toma de decisiones de sus dirigentes y empleados y en qué medida es una verdadera expresión de su cultura de cumplimiento.
• Las certificaciones sobre la idoneidad del modelo expedidas por empresas, corporaciones o asociaciones evaluadoras y certificadoras de cumplimiento de obligaciones, mediante las que se manifiesta que un modelo cumple las condiciones y requisitos legales, podrán apreciarse como un elemento adicional más de su observancia pero en modo alguno acreditan la eficacia del programa, ni sustituyen la valoración que de manera exclusiva compete al órgano judicial.
• Cualquier Compliance Program eficaz depende del inequívoco compromiso y apoyo de la alta dirección de la compañía. El comportamiento y la implicación del órgano de administración y de los principales ejecutivos son claves para trasladar una cultura de cumplimiento al resto de la compañía. Por el contrario, su hostilidad hacia los Compliance Programmes, la ambigüedad, los mensajes equívocos o la indiferencia ante su implementación traslada a la compañía la idea de que el incumplimiento es solo un riesgo que puede valer la pena para conseguir un mayor beneficio económico. Por lo tanto, la responsabilidad de la sociedad no puede ser la misma si el delito lo comete uno de sus administradores o un alto directivo que si lo comete un empleado.
• Aunque cabe un beneficio indirecto de la persona jurídica, la responsabilidad corporativa no debe valorarse igual en los supuestos en los que la conducta criminal redunda principalmente en beneficio de la sociedad que en aquellos otros en que dicho beneficio resulta secundario o meramente tangencial al perseguido por el delincuente. Se valorará de manera especial que los Compliance Programmes establezcan altos estándares éticos en la contratación y promoción de directivos y empleados y su aplicación en el caso concreto.
• Si bien la detección de delitos no está expresamente incluida en la enunciación ni en los requisitos de los Compliance Programmes, forma parte, junto con la prevención, de su contenido esencial, de tal manera que la capacidad de detección de los incumplimientos supondrá un elemento sustancial de la eficacia del Compliance Program.
• La comisión de un delito no invalida automáticamente el Compliance Program, pero también es cierto que este puede quedar seriamente en entredicho a tenor de la gravedad de la conducta delictiva y su extensión en la corporación, el alto número de empleados implicados, la baja intensidad del fraude empleado para eludir el modelo o la frecuencia y duración de la actividad criminal.
• El comportamiento de la corporación en relación con anteriores conductas es relevante para deducir la voluntad de cumplimiento de la persona jurídica y en qué medida el delito representa un acontecimiento puntual y ajeno a su cultura ética o, por el contrario, evidencia la ausencia de tal cultura, desnudando el modelo de organización como un mero artificio exculpatorio.
• Las actuaciones llevadas a cabo por la persona jurídica tras la comisión del delito han de ser igualmente evaluadas (p.e.: la adopción de medidas disciplinarias contra los autores o la inmediata revisión del Compliance Program para detectar sus posibles debilidades, introduciendo en su caso las necesarias modificaciones). Del mismo modo, la restitución, la reparación inmediata del daño, la colaboración activa con la investigación o la aportación al procedimiento de una investigación interna, sin perjuicio de su consideración como atenuantes, revelan indiciariamente el nivel de compromiso ético de la sociedad y pueden permitir llegar a la exención de la pena.

Circular 1/2016 de la Fiscalía General del Estado (en adelante, la Fiscalía), sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del Código Penal (en adelante, CP) efectuada por Ley Orgánica 1/2015, fechada el 22 de enero de 2016, en la que se imparten instrucciones a los Fiscales para valorar la eficacia de los Compliance Programmes en las empresas que, tras la reforma de la Ley Orgánica 1/2015, de 30 de marzo (en adelante, LO 1/2015), se configuran como una eximente de la responsabilidad penal de las personas jurídicas (en adelante, RPPJ).

Esta Circular debe complementarse con la anterior Circular 1/2011, relativa a la responsabilidad Penal de las Personas Jurídicas conforme a la reforma del CP efectuada por Ley Orgánica número 5/2010 (de fecha 1 de junio de 2011).

Hay que tener presente que, no obstante tener las Circulares de la Fiscalía un valor orientativo, no vinculante, sí sirven en cambio de instrumento para unificar criterios de interpretación de las normas que, en no pocos casos, son seguidas por la jurisprudencia.

De hecho, esta Circular 1/2016 resulta especialmente interesante a la vista de la escasa incidencia práctica que ha tenido la RPPJ en el ámbito jurisprudencial, y ello sin perjuicio del inminente Acuerdo del Pleno del Tribunal Supremo sobre la cuestión.

La Fiscalía efectúa en este primera apartado una introducción respecto de la modificación del CP operada por la LO 1/2015, poniendo de manifiesto la crítica doctrinal existente hacia la primera regulación de la RPPJ de 2010 por resultar incompleta y confusa, toda vez que, a pesar de haber transcurrido más de cinco años, apenas hay pronunciamientos jurisprudenciales sobre la materia. Según la Fiscalía, a tenor del Preámbulo de LO 1/2015, la finalidad de la misma es aclarar el modelo establecido en 2010, incorporando una completa regulación de los Compliance Programmes.

La referida LO 1/2015 acomete una importante modificación del art. 31bis, reforma parcialmente el art. 66 bis e introduce tres nuevos artículos, 31ter, 31quater y 31quinquies que, con la única novedad de extender en este último el régimen de la RRPJ a las sociedades mercantiles públicas, reproducen el contenido de los apartados 2º, 3º, 4º y 5º del art. 31bis original.

LA NORMA UNE 19601 SISTEMAS DE GESTIÓN DE COMPLIANCE PENAL.

Alineada con el Código Penal, establece los requisitos para implantar un sistema de gestión de compliance penal con el objetivo de prevenir la comisión de delitos y reducir el riesgo penal en las organizaciones y con ello, favorecer una cultura ética y de cumplimiento. Las organizaciones que implanten correctamente este modelo estandarizado pueden llegar a ver atenuada su responsabilidad penal o incluso ser eximidas, al demostrar la debida diligencia y las mejores prácticas a la hora de prevenir y detectar la comisión de delitos en su seno. La UNE 19601, elaborada con la participación y el consenso de destacados expertos representativos de la abogacía y de los diferentes grupos de interés del ámbito del compliance penal, será certificable por una tercera parte independiente.

Tras casi dos años de trabajo y fruto del consenso de destacados expertos representativos de los diferentes grupos de interés del ámbito del compliance penal, la Asociación Española de Normalización (AENOR), ha publicado la Norma española UNE 19601 Sistemas de gestión de compliance penal.

Esta Norma, desarrollada en el seno de la entidad responsable del desarrollo de las normas técnicas en España, establece los requisitos para implantar, mantener y mejorar continuamente un sistema de gestión de compliance penal en las organizaciones con el objetivo de prevenir la comisión de delitos en su seno y reducir el riesgo penal, a través del impulso de una cultura ética y de cumplimiento.

La UNE 19601 responde al nuevo escenario y al elevado interés por el compliance penal tras la reforma del Código Penal de 2010 que introduce en el derecho español la responsabilidad penal de las personas jurídicas; pero sobre todo da respuesta a la última reforma del Código Penal de 2015 que indica que las personas jurídicas que hayan implantado modelos de prevención de delitos y cumplan una serie de requisitos pueden llegar a ser eximidas de responsabilidad penal.

La UNE 19601 desarrolla requisitos que responden a lo indicado por el Código Penal para los modelos de gestión y prevención de delitos pero también va más allá, incorporando las buenas prácticas en materia de compliance, mundialmente aceptadas.

Entre los requisitos, la Norma establece que las organizaciones deben:

• Identificar, analizar y evaluar los riesgos penales.
• Disponer de recursos financieros, adecuados y suficientes para conseguir los objetivos del modelo.
• Usar procedimientos para la puesta en conocimiento de las conductas potencialmente delictivas.
• Adoptar acciones disciplinarias si se producen incumplimientos de los elementos del sistema de gestión.
• Supervisar el sistema por parte del órgano de compliance penal.
• Crear una cultura en la que se integren la política y el sistema de gestión de compliance.

Esta Norma ha sido elaborada dentro del subcomité técnico de Normalización de UNE, el CTN 307/SC1 Sistemas de gestión del cumplimiento y sistemas de gestión anticorrupción, en el que han participado 36 vocales, expertos representativos de los diferentes grupos de interés del ámbito del compliance penal; entre estos, se encuentran las principales Asociaciones para la función de compliance ASCOM y CUMPLEN, empresas, AA.PP., consultoras y despachos de abogados, universidades, las ONG’s Transparencia Internacional y la Red Española del Pacto Mundial de Naciones Unidas, asociaciones de consumidores o sindicatos.

Este grupo ya venía trabajando desde 2013 en proyectos de normalización internacional como la Norma ISO 37001 sobre sistemas de gestión antisoborno. Requisitos con orientación para su uso, publicada en octubre de 2016. Este documento ha sido incorporado recientemente al catálogo español de normas como UNE-ISO 37001, tras adoptar la traducción oficial al español de la norma por parte de ISO (Organización Internacional de Normalización).

El sistema que establece la UNE 19601 presenta la denominada estructura de Alto Nivel, común a todas las normas internacionales ISO de sistemas de gestión, con lo que es integrable en otros sistemas de gestión; por ejemplo, en los descritos en la Norma UNE-ISO 19600 Sistemas de gestión de compliance. Directrices o en la UNE-ISO 37001.

La mera implantación de la Norma UNE 19601 no conllevará la exoneración o atenuación automática de la responsabilidad penal de la persona jurídica, pero sí puede constituir un elemento fundamental para acreditar que ésta actuó de forma diligente antes de la comisión del delito y que empleó las mejores prácticas, conforme a modelos estandarizados y consensuados para crear una cultura de prevención que redujera de forma significativa el riesgo de su comisión.

Esta norma será certificable por una tercera parte independiente; un modo de asegurar que se aplica eficazmente. La Circular 1/2016 de la Fiscalía General del Estado sobre la reforma del Código Penal considera que las certificaciones podrán ser valoradas como un elemento adicional de la eficacia de los modelos a la hora de eximir de responsabilidad penal a las personas jurídicas que hayan implantado modelos para la prevención de delitos.

Este documento está dirigido a todo tipo de organizaciones, independientemente de su tipo, tamaño, naturaleza o actividad y del sector al que pertenezca (privado, público, con o sin ánimo de lucro). Además, puede ser utilizada en otras jurisdicciones distintas a la española y por organizaciones no españolas.