Esta jornada, celebrada el 16 de marzo pasado, me fue planteada como una propuesta eminentemente práctica, por lo que, como verán, me limitaré a realizar en la mayoría de los casos unas referencias, fruto de la recopilación de artículos que detallo en la bibliografía, a las herramientas legales y no legales más novedosas, que ayuden a los responsables de las organizaciones (sociedades, cooperativas, fundaciones, asociaciones, etc.), en especial de las PYMES, a comprender la importancia de la función de compliance y cómo incorporarla a sus estructuras de empresa.
Con respecto al contenido de la ponencia, he considerado más sistemático y claro, abordarla por el siguiente orden:
- LA FIGURA DEL OFICIAL DE CUMPLIMIENTO.
- PYMES: COMPLIANCE Y RESPONSABILIDAD SOCIAL CORPORTATIVA.
- COMPLIANCE: ACUERDOS SOCIALES Y NUEVAS CLÁUSULAS CONTRACTUALES.
- CUENTAS ANUALES Y COMPLIANCE.
En días sucesivos iremos presentando uno a uno los puntos anteriores, hoy comenzamos por el primero.
1.- LA FIGURA DEL OFICIAL DE CUMPLIMIENTO.
Como fuentes informadoras he utilizado:
- NORMAS UNE 19600 Y 19601
- LIBRO BLANCO sobre la FUNCIÓN DE COMPLIANCE: Asociación Española de Compliance (ASCOM).
1.- ESTRUCTURAS DE LA FUNCIÓN DE COMPLIANCE.
El cumplimiento normativo puede definirse como la función específica que permite a las organizaciones prevenir, detectar y gestionar los riesgos de incumplimiento de las obligaciones regulatorias internas y externas de cada entidad. ¿Cuáles son estas obligaciones?
– OBLIGACIONES EXTERNAS: son aquellas que la organización debe cumplir y suelen provenir de órganos con capacidad legislativa o los poderes públicos.
– OBLIGACIONES INTERNAS: aquellas que la organización elige voluntariamente cumplir y suelen recogerse en códigos o políticas internas o sectoriales de carácter privado (no impuestas por Ley o poderes públicos).
Más específicamente cuando hablamos de Compliance penal hacemos referencia al conjunto de sistemas y procedimientos que tienen como objetivo la prevención de delitos penales (obligación externa) dentro de las organizaciones empresariales y, en caso de que se cometan, evitar o atenuar las eventuales sanciones que puedan conllevar para la entidad.
Ello se hará mediante la implantación y cumplimiento de uno varios programas de compliance (P.C.), así como el desarrollo de una cultura de cumplimiento dentro de la organización.
El cumplimiento normativo es mucho más amplio y variado que el que atañe específicamente al Derecho Penal (prevención de riesgos laborales; prevención de blanqueo de capitales; protección de datos de carácter personal; normas para la mejora del gobierno corporativo, normas en materia de transparencia ligada a las administraciones públicas, etc.). Por tanto, referirse al Compliance como sinónimo de “Compliance penal” es inexacto, por incompleto.
Esta función se acomoda a las circunstancias de cada organización, debiendo disponer de las estructuras y recursos que sean proporcionales a las mismas, en atención a sus circunstancias internas y externas.
Se trata de una función interna (autoorganización y autorregulación) de la organización, no obstante, se puede y se debe acudir al asesoramiento externo o incluso a externalizar algunos cometidos de la ejecución del programa de compliance. La función de compliance puede establecerse por un órgano individual o por un órgano colegiado, siendo necesario en este último caso identificar a su responsable o representante máximo.
La responsabilidad de la implantación y cumplimiento diligente del programa de compliance corresponde al equipo de compliance que tenga encomendada tal función, pero la responsabilidad última de la supervisión de la correcta ejecución del programa corresponde al órgano de administración de la organización y/o sus comisiones delegadas con atribuciones para ello.
Los RIESGOS DEL COMPLIANCE son los relacionados con el incumplimiento de las obligaciones que la organización debe cumplir y también las de aquellas que elige voluntariamente cumplir.
2.- AUTONOMIA DE LA FUNCIÓN DE COMPLIANCE.
La función de compliance no precisa de mandatos específicos, el órgano de administración de la organización le delegará facultades y competencias suficientes para desarrollar sus cometidos esenciales de manera continuada y sin precisar autorización, siempre con objetividad, imparcialidad e independencia, lo que supone que la función de compliance gozará de AUTORIDAD y LEGITIMIDAD suficientes para recabar o acceder a cualquier información o documentación para el desarrollo de sus cometidos esenciales.
Para ello la organización cuidará de que la función de compliance:
- Tenga una adecuada posición jerárquica dentro del organigrama de la organización.
- Todo el personal de la organización preste su apoyo y soporte.
- Cuente con los recursos humanos y materiales necesarios para poder actuar autónomamente: a tal fin le dotará de una partida presupuestaria propia cuya gestión directa corresponderá a la función de compliance. Dicha partida será proporcional a las circunstancias de la organización, debiendo el máximo responsable del compliance rendir cuentas sobre el adecuado destino de los recursos asignados.
La autonomía de la función de compliance se ejercerá en el ámbito de los aspectos vinculados a sus cometidos esenciales.
3. INDEPENDENCIA DE LA FUNCIÓN DE COMPLIANCE.
La función de compliance tendrá MAXIMA INDEPENDENCIA: su juicio y modo de proceder no pueden estar condicionados por cuestiones que les impidan o dificulten desarrollar libremente sus cometidos esenciales, ni por temor a represalias.
NO DEBE VERSE AFECTADA POR OBJETIVOS COMERCIALES, ECONÓMICOS, FINANCIEROS O CUALESQUIERA OTROS que puedan conculcar su independencia de juicio o actuación.
Las personas integradas en la función de compliance NO DEBEN PARTICIPAR EN LA PRESTACIÓN DE SERVICIOS Y ACTIVIDADES QUE CONTROLAN, para evitar verse supeditadas o condicionadas por la influencia indebida que pudieran ejercer personas de otras áreas de la actividad de la entidad.
Si en algún momento cualquiera de estas personas se sintiera amenazada o coaccionada deberá ponerlo en conocimiento del órgano de gobierno de la organización o hacer uso de los canales internos de denuncia.
El nombramiento, evaluación del desempeño y destitución del máximo representante de la función de compliance recaerá en el órgano de administración. En caso de cese o destitución deberá fundamentarse por escrito, con expresión concreta y razonada de los motivos.
RETRIBUCIÓN: No podrá depender de los objetivos comerciales ni los resultados económicos de la organización y será acorde a la relevancia de sus cometidos. Constituirá una cantidad fija, no obstante puede tener un variable que puede depender de su desempeño en la operación del P.C. asignado.
* Sentencia 494/2018 del Tribunal Supremo de 26 de febrero de 2018 sobre retribución de los administradores.
4. COMETIDOS ESENCIALES DE LA FUNCIÓN DE COMPLIANCE.
- PREVENIR, DETECTAR y GESTIONAR RIESGOS DE COMPLIANCE.
- CREAR Y DIFUNDIR DENTRO DE LA ORGANIZACIÓN UNA POLITICA DE COMPLIANCE.
En dicha política de compliance (documento: Anexo C –normativo- de la Norma UNE 19601) constarán los objetivos del compliance acordados por la organización, la involucración de todo su personal en la consecución y las estructuras de compliance dispuestas para auxiliar en esa labor.
Deberán existir uno o varios canales a través de los cuales los destinatarios de las políticas de compliance puedan realizar consultas, plantear inquietudes o denunciar de buena fe transgresiones de su contenido.
La función de compliance velará porque la organización se vincule con personas afines a sus objetivos de compliance y política de compliance, ya sean empleados o terceros con los que se mantenga relaciones de cualquier naturaleza.
4.1 LA FUNCIÓN DE COMPLIANCE Y LAS OBLIGACIONES DE COMPLIANCE
4.1.1. Identificación de las obligaciones de compliance.
– Obligaciones que la organización debe cumplir: suelen provenir de órganos con capacidad legislativa o los poderes públicos.
– Obligaciones que la organización elige voluntariamente cumplir: suelen recogerse en códigos o políticas internas o sectoriales de carácter privado (no impuestas por Ley o poderes públicos).
4.1.2. Actualización de las obligaciones de compliance.
La función de compliance velará porque la organización disponga de un conocimiento actualizado de las obligaciones de compliance cuyo riesgo de incumplimiento previene, detecta y gestiona operando el P.C. que tiene asignado.
4.1.3. Difusión de las obligaciones de Compliance.
La función de compliance cuidará de que las normas o documentos de los que deriven las obligaciones de compliance sean accesibles a los colectivos que precisen consultar sus contenidos. Asimismo cuidará de que las obligaciones sean adecuadamente comprendidas por sus destinatarios, impulsando las acciones de formación y concienciación oportunas.
4.1.4. Asignación de responsabilidades en cuanto a las obligaciones de compliance.
La función de compliance promoverá:
- Que todo el personal de la organización conozca los deberes y expectativas depositadas en él respecto de las obligaciones de compliance que le afectan (impulsará documentación, su difusión, acciones de formación y concienciación y mecanismos de retroalimentación).
- Que el nivel de diligencia en el conocimiento y observancia de las obligaciones de compliance tanto del personal de la organización como de los eventuales terceros con los que ésta se vincula, condicionen el tratamiento que la organización les dispensa (que el nivel de alineación con los objetivos de compliance constituya un factor de valoración de su desempeño profesional, capacidades de promoción y retribución, dentro del marco legal aplicable. En relación con los terceros, que su nivel de alineación con los objetivos de compliance constituya un factor determinante del inicio, continuidad, suspensión o cancelación de la relación jurídica con ellos, dentro del marco legal aplicable).
4.1.5. Integración de las obligaciones de Compliance en los procesos de negocio.
La función de compliance velará por integrar las obligaciones de compliance dentro de los procesos de negocio de la organización, de manera que darles cumplimiento sea una parte más de los mismos, evitando que constituyan formalidades o requisitos paralelos o adicionales.
La función de compliance velará porque las políticas, procedimientos y controles ya existentes en la organización incluyan los contenidos apropiados para dar cumplimiento a las obligaciones de compliance.
4.2. LA FUNCIÓN DE COMPLIANCE Y LOS RIESGOS DE COMPLIANCE.
La función de compliance se ocupará de que IDENTIFIQUEN, ANALICEN Y VALOREN los RIESGOS DE COMPLIANCE objeto de P.C. que debe operar. Es una actividad CLAVE que debe documentarse. A tal fin se empleará una metodología adecuada a las circunstancias de la organización.
VEAMOS UN EJEMPLO SIMPLE SOBRE LA METODOLOGÍA DE “EVALUACIÓN DE RIESGOS” EN COMPLIANCE PENAL.
IDENTIFICACIÓN DE LOS RIESGOS: Se realizará por Departamentos de la empresa mediante el examen del LISTADO DE DELITOS que pueden ser cometidos por las personas jurídicas.
Hay que tener en cuenta que el legislador ha establecido de forma taxativa una lista de delitos que pueden ser cometidos por las personas jurídicas. Por tanto los riesgos que habrá que analizar se ceñirán exclusivamente a al listado de delitos que se citan a continuación:
- Tráfico ilegal de órganos
- Trata de seres humanos
- Delitos relativos a la prostitución y corrupción de menores
- Delitos contra la intimidad y allanamiento informático
- Estafas y fraudes
- Insolvencias punibles
- Daños informáticos
- Delitos contra la propiedad intelectual, industrial y de mercado de consumidores y de corrupción privada
- Receptación y blanqueo de capitales
- Delitos contra la Hacienda Pública y la Seguridad Social
- Delitos contra los derechos de los ciudadanos extranjeros
- Delitos contra la construcción, edificación y urbanización ilegal
- Delitos contra el medio ambiente
- Delitos contra la energía nuclear y radiaciones ionizantes
- Delito de riesgo provocado por explosivos
- Delitos contra la salud pública
- Falsedad en medios de pago
- Cohecho
- Tráfico de influencias
- Corrupción de funcionarios extranjeros
- Financiación del terrorismo
- Contrabando
- Delitos contra los derechos y libertades de los trabajadores.
ANALISIS DEL NIVEL DE RIESGO.
Se hará mediante una estimación de las amenazas que supongan los riesgos para la organización previamente identificados, en función de la PROBABILIDAD de que dicho riesgo se materialice y de las CONSECUENCIAS que pueda tener.
Para valorar la PROBABILIDAD de que el riesgo se graduará con el siguiente criterio:
- Probabilidad Alta: riesgos que se encuentran en el día a día de la empresa.
- Probabilidad Media: riesgos que existen de forma habitual.
- Probabilidad Baja: riesgos que difícilmente aparecerán en la empresa.
Para valorar las CONSECUENCIAS de que el riesgo se materialice deberá considerarse las consecuencias jurídicas que para la empresa supondría la comisión del delito. Se graduará de la siguiente manera:
- Daño muy Grave: delitos que podrían suponer la suspensión o disolución de la organización.
- Daño Grave o Relevante: reservado para el resto de delitos.
- Daño Leve: Delitos que supondrían penas de contenido económico.
VALORACIÓN DEL NIVEL DE RIESGO
Se elaborará mediante la creación de una MATRIZ DE RIESGOS (más o menos compleja en función de las peculiaridades de cada organización) pero que, siguiendo con el ejemplo de partida, podría determinar o categorizar los niveles de riesgo del siguiente modo:
|
CONSECUENCIAS PROBABILIDAD |
DAÑO LEVE |
DAÑO GRAVE |
DAÑO MUY GRAVE |
|
BAJA |
BAJO |
MEDIO |
MEDIO |
|
MEDIA |
MEDIO |
MEDIO-ALTO |
ALTO |
|
ALTA |
MEDIO |
ALTO |
ALTO |
Priorizados los riesgos de compliance la función de compliance deberá identificar los controles (políticas, procedimientos, controles) con que cuenta la organización para prevenir, detectar y gestionar aquéllos. Propondrá en su caso incorporar los controles que considere necesarios y participara en el diseño y control de su observancia, valorándolos en función de su diseño y la eficacia que tengan para el fin perseguido de prevenir, detectar y gestionar (mediante la adecuada respuesta) los riesgos de compliance.
ESTABLECIMIENTO DE MEDIDAS DE PREVENCIÓN Y CONTROL
| RIESGO | MEDIDAS DE ACCIÓN |
| BAJO | No se requiere acción específica más allá del cumplimiento del código ético de la empresa |
| MEDIO | Se deben considerar soluciones rentables que no supongan una carga económica importante. |
| ALTO | Hacer esfuerzos para reducir el riesgo, determinando los recursos financieros precisos y fijando el plazo en que las medidas deben implementarse. |
4.3 FORMACIÓN Y CONCIENCIACIÓN.
El personal de la organización debe recibir formación recurrente para mejorar el conocimiento de las obligaciones de compliance, riesgos de incumplimiento, políticas, controles y procedimientos vinculados al P.C. Ello se hará mediante la celebración de ciclos formativos y campañas de concienciación, para lo cual se contará por la función de compliance con los recursos económicos necesarios.
Todas y cada una de las personas de la organización tiene la obligación de conocer las obligaciones de compliance en función de su ocupación específica, y de la que deben responsabilizarse individualmente.
El Código Ético, código de conducta o norma equivalente constituye un texto fundamental a estos fines, debiendo estar siempre disponible para trabajadores y terceros.
4.4 ASESORAMIENTO Y REPORTE.
Facilitará asesoramiento ordinario al personal de la organización para solventar sus dudas de las obligaciones de compliance.
Reportará de manera fluida y periódica aspectos relacionados con la ejecución del programa mediante reportes operativos, memorias anuales o eventuales comunicaciones urgentes.
La cadena de reporte de compliance puede trascender a la organización. Ej. Que la Ley exija que algunos reportes sean facilitados a órganos supervisores o administraciones públicas, lo que en todo caso debe conocer el máximo responsable de la función de compliance y el órgano de gobierno de la organización.
4.4.1. Asesoramiento de la organización
OBJETO:
- Valorar la adecuación de las materias objeto de consulta a los objetivos de Compliance.
- Mantener a la organización prevenida de cambios o modificaciones –actuales o previsibles- en la legislación o en su interpretación.
Los cometidos de asesoramiento de la función compliance no implican la asunción de competencias decisorias ni la traslación de las responsabilidades derivadas de las acciones u omisiones de los órganos sociales, alta dirección o cargos de la organización con atribuciones legales para ello.
4.4.2. Reportes operativos.
Reportará las informaciones relevantes sobre la ejecución del P.C. al órgano de administración de la organización, su comisión delegada correspondiente y a la alta dirección.
Informará de incidentes e irregularidades relacionadas con la ejecución del P.C.
Los reportes podrán incluir propuestas decisorias que se precisen y deban ser adoptadas por el órgano de administración de la organización.
4.4.3. Memorias Anuales.
La función de compliance redactará una memoria anual que resumirá las tareas desarrolladas durante el ejercicio social al operar el P.C.
Dicha memoria se dirigirá al órgano de administración o comisión delegada.
Entre otros aspectos, las Memorias anuales pueden también hacer referencia a:
- Identificación de las áreas de riesgo en el ámbito del Programa de Compliance que debe operar la función de Compliance.
- Descripción de la aplicación y eficacia de las políticas, procedimientos y controles establecidos, con un resumen de las tareas de supervisión y monitorización efectuadas, sea a distancia o mediante visitas in-situ.
- Detalle de los principales tipos de irregularidades o incidentes relacionados con el Programa de Compliance que debe operar la función de Compliance, especialmente los relacionados con el incumplimiento de las obligaciones de Compliance.
- Descripción de los planes de acción sugeridos para corregir los incidentes, deficiencias o incumplimientos detectados.
- Cambios sustanciales, actuales o previsibles, en la legislación o en su interpretación que puedan tener una incidencia significativa en materia de las obligaciones de Compliance sujetas al Programa de Compliance, y sugerencia de las medidas a adoptar para facilitar que la organización se adapte a ellas.
- Relaciones o comunicaciones relevantes mantenidas con el regulador, el supervisor u órganos de la administración o jurisdicción, incluyendo las relacionadas con sanciones.
- Otros aspectos relevantes.
Esta memoria o un extracto de la misma pueden incorporarse a la MEMORIA DE LAS CUENTAS ANUALES DE LA SOCIEDAD, sobre todo si puede tener incidencia económica para el futuro).
4.4.4. Comunicaciones urgentes.
Debe informar inmediatamente de aquellos incidentes o irregularidades que, por su gravedad, puedan causar daños económicos o reputacionales significativos a la organización, especialmente cuando deriven del incumplimiento de las obligaciones de compliance.
4.5 CANALES DE DENUNCIA.
La organización procurará establecer uno o varios canales a través de los cuales empleados y eventualmente terceros puedan realizar comunicaciones confidenciales relacionadas con el código ético.
La función de compliance intervendrá en la supervisión de la tramitación de reclamaciones o denuncias a través de los canales internos.
Los canales internos de denuncia serán fácilmente accesibles, conocidos, confidenciales y garantizarán los derechos de que sean titulares las personas cuyos datos sean tratados, garantizando la no adopción de represalias frente a comunicaciones realizadas de buena fe.
4.6. MANTENIMIENTO DE LA DOCUMENTACION.
La función de compliance se ocupará de que tanto la documentación del P.C. que debe operar, como la derivada de su ejecución, se encuentren debidamente archivadas en la organización, así como de que solo tengan acceso a la misma las personas que estén legitimadas para ello. En tal caso, garantizará la accesibilidad inmediata de la misma.
5. MONITORIZACION DEL PROGRAMA DE COMPLIANCE.
La función de compliance debe monitorizar el P.C. de modo que se mantenga adecuado para prevenir, detectar y gestionar el riesgo de cumplimiento de las obligaciones de compliance.
Dentro de sus contenidos de monitorización, la función de compliance prestará especial atención a que se comprendan y existan medidas organizativas razonables para el cumplimiento de las obligaciones de compliance relacionadas con:
- Los procesos de selección, contratación y mantenimiento de la relación contractual con empleados y terceros.
- Los procesos relacionados con lo establecido en las normas y reglamentos de conducta.
- Los procesos relacionados con la gestión de los conflictos de interés.
- Los procesos relacionados con las restricciones a operaciones con clientes, proveedores o socios de negocio en general.
- Los procesos relacionados con las restricciones o salvaguardas en operaciones con terceros y las operaciones vinculadas, incluyendo la de los socios, administradores y altos directivos con la sociedad o respecto de sus activos y propios títulos.
- Los procesos relacionados con la creación y difusión de nuevos servicios y productos o reevaluación de los existentes, así como relacionados con la información o publicidad relativa a los mismos.
- Los procesos relacionados con comunicaciones a las autoridades, incluyendo organismos reguladores, supervisores y otras instancias administrativas o judiciales.
La función de Compliance coordinará las acciones de supervisión y monitorización que desarrolle respecto del programa compliance que debe operar. La función de compliance incluirá las acciones desarrolladas y los resultados obtenidos de las actividades de monitorización.
Por tanto, con el objetivo de alcanzar un grado de Cumplimiento Normativo aceptable con el nivel de riesgo de cada entidad, las empresas deberán implantar medidas de control organizativas, técnicas y legales, entre las que podemos destacar:
| Organizativos | Mecanismos de whistleblowing– Comité de Cumplimiento Normativo- Código de conducta- Conducta Criminal Due Dilligence– Etc. |
| Técnicos | IDS/IPS.-Sistemas de Detección de Intrusiones- Medidas de control de acceso físicas y lógicas- e-Discovery/ forensic readiness scheme– Vigilancia Digital- Monitorización – Herramientas de correlación y gestión de logs- Etc. |
| Legales | Cláusulas de confidencialidad y de aceptación de las políticas de la compañía a Proveedores y Clientes- Revisión periódica de contratos con terceros para tareas económico/financieras y periciales- Realización de Auditoría Económico-Financiera por un auditor externo.- Política anticorrupción.- Etc |
- Inventario de Activos de información.
- Data Leak Prevention (DLP). Mecanismos de Prevención de Fuga de información (de uso, de trasmisión y de almacenamiento).
- Vigilancia Digital.
- Monitorización: Herramientas de correlación y logs.
- En todo programa de Cumplimiento normativo se aconseja una monitorización completa proactiva que, a través de protocolos y procedimientos periódicos, garanticen un uso adecuado y permitido de los sistemas, de las aplicaciones y de la información corporativa.
- Enterprise Digital Rights Management (E-DRM o ERM) es la aplicación de tecnología DRM o IRM que controla los accesos a documentos corporativos tales como archivos de Microsoft Word, PDF, AutoCAD, correos electrónicos y páginas web de intranet. Esta medida permite prevenir el uso sin autorización de documentos propietarios. El IRM se integra típicamente con el software de gestión de contenidos o el gestor documental corporativo de las empresas.
El fin principal de una herramienta de este tipo es proteger la información, ya sea en formato digital o en soporte papel, y teniendo como objetivos adicionales:
- Detectar quién accede a cada archivo o documento, cuándo y bajo qué condiciones, reportando esta información al responsable del control.
- Autorizar o denegar el acceso a un archivo o documento, de acuerdo con las condiciones preestablecidas por la organización.
Como hemos visto existen múltiples controles técnicos que nos ayudan al Cumplimiento Normativo de una organización, los cuales en todo caso deberán complementarse con la implantación de medidas técnicas y legales.
Por tanto, el cumplimiento normativo no solo afecta a los aspectos legales de las compañías, sino que para la implantación de un Compliance Program resultará apropiado adoptar controles organizativos, técnicos y por supuesto legales.
6. PERFIL Y RESPONSABILIDADES DEL COMPLIANCE OFFICER.
La figura del responsable de cumplimiento normativo o “director de cumplimiento” (compliance officer) es la de aquél responsable encargado de impulsar, ejecutar y supervisar –por mandato del órgano de administración o dirección de la persona jurídica, sea la que sea- las políticas derivadas del previo programa de prevención de riesgos penales, cuya función principal es la de evitar la imputación penal de la persona jurídica.
La finalidad estricta del responsable es la de velar por la correcta ejecución de programa de prevención de riesgos penales previamente establecido (razón por la cual necesita una dotación financiera y la atención periódica a su cometido por parte de los responsables de la organización). Es una derivación de la dirección por objetivos que tanto gusta al mundo empresarial: para alcanzar el objetivo de no tener imputaciones penales, el responsable de su implementación es el compliance officer.
INFORME 5/2017 DE LA COMISIÓN JURÍDICA DEL CGAE: SOBRE LA INTERVENCIÓN DEL ABOGADO COMO RESPONSABLE DEL CUMPLIMIENTO NORMATIVO (“COMPLIANCE OFFICER”).
La implementación y aplicación de los planes de prevención requiere la combinación de actividades de interpretación, evaluación y decisión acentuadamente jurídicas que se corresponden naturalmente con las que de ordinario realiza un abogado en su tarea de asesoramiento y orientación a las personas jurídicas.
Cierto es que los cada vez más extendidos departamentos de auditoría y seguimiento de proyectos de las personas jurídicas están habilitados para comprobar, evaluar y discernir si lo que se hace, lo que se va a hacer o lo que hace tiempo se hizo se ajusta en más o en menos a lo que prescriben las normas (externas o internas) aplicables a una entidad. Nadie lo duda.
Sin embargo, la notoria diferencia de los programas de prevención de riesgos penales respecto a los demás ordenamientos exigibles a la empresa es que la comprobación de si funcionan o no se va a medir por profesionales externos del mundo del derecho (jueces y fiscales) que van a utilizar reglas de carácter jurídico que solo existen en el mundo del derecho, concretamente en el Código Penal.
La diferencia entre la aplicación de los sistemas jurídicos autocompositivos (el plan de prevención) o heterocompositivos (el Código Penal) es muy clara y efectiva: una empresa podrá aplicar o no su código de conducta interno, lo que solo dependerá del órgano de administración. Pero la aplicación del Código Penal no está en la mano del Consejo de Administración de una sociedad.
Las armas del mundo jurídico interno (el plan de prevención) siempre las podrá diseñar o rediseñar – cuando no gusten las actuales- el equipo directivo. Por desgracia, las armas externas no son controlables por las personas jurídicas y ahí resulta esencial el consejo y la guía del abogado. En el manejo de las dos realidades (interna y externa) solo puede actuar un determinado tipo de profesionales: los abogados. Luego, al menos en pura sede teórica y conceptual, la opción para designar el mejor “compliance officer” siempre se decantará hacia aquel profesional que sea abogado.
Estatuto General de la Abogacía aprobado mediante Real Decreto 658/2001, de 22 de junio.
Código Deontológico de la Abogacía.
¿Un Letrado de empresa puede asumir el cargo de compliance officer sin colisión con el secreto profesional o peligro de conflicto de intereses? NO, no es recomendable.
¿Un letrado externo, pero contratado a través de iguala o para llevanza de asuntos puede asumir el cargo de compliance officer sin colisión con el secreto profesional o peligro de conflicto de intereses? NO.
Sólo un Letrado externo sin vinculación con la empresa puede asumir el cargo de compliance officer con todos los privilegios propios de su condición de letrado, garantizándonos de este modo que no existe colisión con el secreto profesional o peligro de conflicto de intereses.
6.1. Nivel Formativo
Deben disponer de una formación o acreditación profesional coherente con sus cometidos esenciales, en especial para conocer, comprender y difundir las obligaciones de compliance relativas al P.C: que deben operar.
Su nivel formativo les permitirá valorar la idoneidad de las políticas, procedimientos y controles de la organización para la prevención, detección y gestión de los riesgos de compliance.
Las personas que asuman cometidos relevantes en la función de compliance deben recibir formación recurrente de calidad, de lo que se cuidará la organización.
6.2. Experiencia profesional.
Dicha experiencia debe ser adecuada al nivel de responsabilidad que asumen en la operación del P.C. asignado.
Deben disponer de una trayectoria profesional alineada con los objetivos de compliance y la política de Compliance.
6.3. Responsabilidad profesional.
El máximo representante de la función de compliance de la organización asume la responsabilidad de informar a los órganos de administración (…) de los hechos relevantes de los que tenga conocimiento, relacionados con sus cometidos esenciales y con lo establecido en el P.C. que coordine.
La organización procurará que tanto el máximo representante de compliance como los responsables de áreas o programas específicos de compliance dispongan de asesoramiento jurídico de calidad.
6.4. Interlocución con los grupos de interés.
La función de compliance deberá mantener un diálogo transparente y continuado con los grupos de interés:
- Externos: administraciones públicas, entidades reguladoras, poder judicial, asociaciones de sectoriales o profesionales.
- Internos: representantes de los trabajadores.
CONCLUSIONES DEL INFORME 5/2017 DEL CGAE:
- La elaboración de los planes de prevención de riesgos penales constituye una manifestación del poder de autoFormación que tienen las personas jurídicas, procedimiento de elaboración en el que resulta más que recomendable la presencia de abogados.
- La implementación y aplicación de los planes de prevención requiere la combinación de actividades de interpretación, evaluación y decisión jurídicas que se corresponden naturalmente con las que de ordinario realiza un abogado en su tarea de asesoramiento y orientación a las personas jurídicas.
- La figura del responsable de cumplimiento normativo o “compliance officer” exige singulares caracteres que, aunque pudiera ser cubierta por ciertos directivos internos o responsables externos específicamente designados para ello, en el caso de que sean abogados conlleva privilegios y garantías adicionales derivadas del estatuto personal del profesional de la abogacía.
- La libertad e independencia legalmente innatas a la profesión, el secreto profesional, la confidencialidad, la posibilidad de no declarar y las demás consecuencias de la intervención de un abogado constituyen garantías adicionales a las funciones ordinarias de un responsable de cumplimiento normativo que refuerzan la conveniencia de la intervención del abogado en el ejercicio de tales funciones.
- La agregación de las conclusiones anteriores conduce a la apreciación de que, siendo muchos los llamados a desempeñar tareas de “compliance officer” en las personas jurídicas, los abogados gozan de una preeminencia especial en ser los elegidos para asumir dicha tarea.