Un buen plan de compliance, el salvavidas penal para cualquier tipo de empresa
El compliance hace referencia a la aplicación de políticas y procedimientos adecuados y suficientes para garantizar que una empresa, incluidos sus directivos, empleados y agentes vinculados, cumplen con el marco normativo aplicable. Pero ¿es esto suficiente? Si el plan de compliance no es certificable, parece ser que no.
El cumplimiento normativo, más conocido actualmente bajo el término anglosajón compliance, ha llegado a España, aunque con un poco de retraso, con la firme necesidad de quedarse. En un comienzo fueron las empresas con matrices extranjeras las que implementaron más rápidamente esta nueva figura en su organización por ser algo prácticamente esencial en su cultura corporativa. Otras empresas nacionales, pero con importantes conexiones en el extranjero, se han visto en la necesidad de implementarlo para poder ofrecer una mínima seguridad a sus socios foráneos. Actualmente, aunque menos, incluso las pequeñas y medianas empresas son cada vez más conscientes de su importancia. Según Cristobal Barea, abogado y CEO de Barea y Zango Grupo Empresarial, "la consecuencia más grave de no tener implementado un buen plan de compliance para una empresa puede ser el cierre, pero no hace falta tanto. Si a una fábrica se le impide la producción durante un solo día, las pérdidas generadas pueden ser mucho mayores que cualquier sanción económica que se le pueda interponer".
Y es que, todo efecto, tiene una causa. En España, en 2010 y a raíz de la reforma del Código Penal, y aún con mayor severidad en su reformulación con la última reforma del 2015, se introdujo en nuestro ordenamiento la responsabilidad penal de las personas jurídicas. A partir de ese momento, las empresas, no sólo debían enfrentarse a las sanciones económicas que las regulaciones sectoriales establecían, sino que también debían enfrentarse a la posible responsabilidad por un delito cometido en su nombre, no sólo por sus representantes legales y administradores, sino también por quienes, estando sometidos a su autoridad, hubieran podido realizar dichos hechos por no haberse ejercido sobre ellos el debido control. "Más de 30 son los delitos tipificados por el código penal a los que se puede enfrentar una persona jurídica, de los que los más comunes son los financieros, como blanqueo de capital, propiedad indebida, delitos contra la hacienda pública y la seguridad social, etc. La realidad indica que la mayor parte de infracciones o incumplimientos de la norma se cometen no siendo conscientes de ello, sino por desconocimiento de que se está incumpliendo la normativa." indica Barea.
La pregunta, entonces, parece obligada. ¿Puede un correcto plan de compliance exonerar a la empresa de dicha responsabilidad? Debido a una modificación al respecto de la responsabilidad penal, sí. Eso sí, si la empresa ha adoptado y ejecutado, previa comisión del delito, las idóneas medidas de vigilancia para prevenir o reducir delitos del mismo tipo y no se haya cometido una insuficiente función de control sobre ellas. Pero ¿es todo tan sencillo? Parece ser que, obviamente, no.
"El compliance está muy ligado a la figura del abogado – afirma Barea – pero un abogado no puede saberlo todo, es imposible, y el compliance es una rama muy específica y requiere de un conocimiento de sistema de gestión al que un abogado no está acostumbrado. Se puede hacer un plan de compliance sin certificación, pero no es suficiente. El abogado conoce toda la cuestión legal, puede conocer también el tema de jurisprudencia, pero difícilmente conoce el desarrollo de la UNE 19601, que es la certificable". Y es que, si se hace un mapa de riesgos, pero éste no se certifica, tienes doble trabajo ante una problemática legal: por un lado, demostrar que el mapa de riesgos está hecho y, por otro, demostrar no sólo que se ha hecho, sino que es realmente eficaz en términos de certificación. "Si tienes el certificado de la UNE, que tiene que actualizarse cada año, prácticamente tienes la carga de la prueba - sentencia Barea – pero muchos se atreven a llamar compliance a lo que hacen, aún sin garantías de que sea una herramienta sólida para la empresa que la contrata en caso de necesitarla".
Lo que se dice tan rápido parece tener una importancia muy relevante: "Es la implementación de una ISO, lo que comporta localizar todos los riesgos que tiene la empresa, crear soluciones que eviten la comisión de esos riesgos y certificarlo. No sólo es hacer el sistema de compliance, sino que tiene que venir una certificadora que dice que, de aquello que se dice, se tiene que hacer caso y se tiene que actualizar cada año. Por tanto, no es una cosa que se hace y ya está, sino que se tiene que mantener para que quede a la salvaguarda la responsabilidad penal de la sociedad y que el culpable sea, no el administrador, sino el que ha ejecutado la falta", afirma Neus Ruiz-Lluch, abogada especialista en compliance de Barea y Zango, con más de dos años de trabajo de especialización a las espaldas en temas de cumplimiento normativo y continúa "Creo que es de las mejores inversiones que puede realizar una empresa para tenerlo todo bien atado y evitarse sorpresas de última hora que supongan un giro muy importante en la vida de la empresa y de las personas que la componen. El Consejo General de la Abogacía Española, por otro lado, aconseja que lo lleve a cabo un equipo externo a la misma empresa para evitar cualquier posible conflicto de intereses".