¿Quién es Neus Ruiz-Lluch Manils?
Soy abogada especialista en asesoría empresarial y derecho penal económico y, posteriormente, enfoqué mi especialización en el compliance. En los últimos años, me he dedicado a la consultoría empresarial, en concreto a la gestión del compliance, implantando sistemas de gestión y protocolos de actuación para que las empresas puedan disponer de unos programas de compliance válidos y eficaces, capaces de dar cumplimiento a las normativas que le conciernen por su actividad, y capaces de transmitir una tranquilidad en la gestión empresarial y el buen gobierno corporativo.
Trabajo en el despacho Barea & Zango. Actualmente, me he certificado como Compliance Officer, es decir, como profesional capacitado para asesorar e implantar sistemas y protocolos de compliance, de tal forma y manera que las empresas puedan acabar siendo certificadas en compliance a nivel nacional por una empresa certificadora.
Después de implantar varios sistemas de gestión de compliance, tanto a grandes como a pequeñas y medianas empresas, he podido comprobar que la gran preocupación que tienen los administradores y/o directivos y órganos de gobierno es que puedan actuar en sus ámbitos de actuación con la consciencia tranquila de que, dentro de su organización, se actúa conforme a las normativas vigentes y siguiendo unos protocolos de actuación internos que permitan demostrar la buena fe y la ética empresarial que se desea. Además, los directivos de las empresas quieren hacer notar este factor a nivel externo y dar un valor añadido con esa forma de actuación propia, y esto es lo que buscan hoy en día todas las empresas.
…la gran preocupación que tienen los administradores y/o directivos y órganos de gobierno es que puedan actuar en sus ámbitos de actuación con la consciencia tranquila..
Brevemente ¿Cómo definiría el concepto “compliance” para que lo entendamos todos?
Compliance es un término anglosajón muy recurrente actualmente, pero no deja de ser una expresión que se refiere al cumplimiento normativo de las exigencias legales vigentes para cualquier empresa. Teniendo en cuenta que cada vez son más las normativas que tienen que cumplir las empresas, en torno a las actividades que realizan en el mercado, el compliance nace con la idea de establecer un modelo de actuación preventivo para dar cumplimiento a todas esas normativas que afectan, siendo conscientes que el incumplimiento de cualquiera de esas exigencias legales puede comportar a la empresa gravosas consecuencias, tanto para la empresa en sí como para sus administradores y directivos.
Con la última reforma del Código Penal de 2015, la normativa ha hecho un giro a efectos de responsabilidad penal y, en su nuevo artículo 31 bis establece la responsabilidad penal que tienen ahora las personas jurídicas, como entes jurídicos, es decir, sujetos con responsabilidad penal y consecuencias penales ante la comisión de hecho delictivos. Esto hace que las empresas se preocupen, no solo por cumplir con la normativa vigente, sino por establecer modelos de prevención de esos delitos tipificados por los que podrían quedar sujetas a responsabilidad penal en caso de que ocurrieran, puesto que la primera y principal responsable ahora es la persona jurídica.
A partir de este momento y de este cambio de legislación, las empresas, no sólo deben enfrentarse a las sanciones económicas que las regulaciones sectoriales establecen, sino que también deben enfrentarse a la posible responsabilidad por un delito cometido en su nombre, no sólo por sus representantes legales y administradores, sino también por quienes, estando sometidos a su autoridad, hubieran podido realizar dichos hechos por no haberse ejercido sobre ellos el debido control.
…las empresas, no sólo deben enfrentarse a las sanciones económicas que las regulaciones sectoriales establecen, sino que también deben enfrentarse a la posible responsabilidad por un delito cometido en su nombre…
Por lo tanto, el compliance y los llamados “programas de compliance” hacen referencia a modelos de actuación preventivos que hace que las empresas actúen de una determinada manera que prevean la posible comisión de delitos y, en caso de su comisión o detección, establezcan medidas que puedan mitigar ese comportamiento, a efectos de que la propia empresa pueda demostrar, en caso de una comisión delictiva, que ha implantado sistemas de vigilancia y control de esos delitos, para que pueda quedar exenta de una posible condena penal por la responsabilidad penal que ahora recae sobre ella.
“Un programa de compliance es de las mejores inversiones que puede realizar una empresa para tenerlo todo bien atado y evitarse sorpresas de última hora que supongan un giro muy importante en la vida de la empresa y de las personas que la componen, aparte de demostrar al mercado su buena fe, transparencia y ética profesional”
Desde una perspectiva jurídica ¿Cómo puede verse afectada una organización en caso de que se le reclamen responsabilidades legales (civiles o penales)?
Más de 30 son los delitos tipificados por el actual Código Penal a los que se puede enfrentar una empresa, de los que los más comunes son los financieros, como blanqueo de capital, propiedad indebida, delitos contra la hacienda pública y la seguridad social, etc. La realidad indica que la mayor parte de infracciones o incumplimientos legales y penales se cometen no siendo conscientes de ello, sino por desconocimiento de que se está incumpliendo la normativa.
En estos casos, la normativa es clara y el desconocimiento por parte de los administradores y/o directivos de la comisión de estos delitos no les exime de la responsabilidad penal que ahora recae sobre ellas, por lo que hace que los administradores y/o directivos se vean con la necesidad de cubrirse y protegerse ante esas infracciones y las consecuencias que les acarrea.
Las consecuencias y daños para las empresas en caso de responsabilidad penal son muchas, desde sanciones económicas cuantiosas y gravosas para la sostenibilidad de la organización, hasta cierres o disoluciones de la persona jurídica, suspensión de las actividades y de producción, clausuras de locales y establecimientos, o prohibición de contratar o participar en el ámbito del sector público. Por lo tanto, vemos que las empresas a la práctica pueden verse afectadas por consecuencias muy gravosas para la continuidad de la actividad de la empresa, por no hablar de la reputación que ello conlleva a los terceros y al mercado.
Es importante destacar que, estas condenas penales a la persona jurídica pueden acabar subsidiariamente a las responsabilidades de los administradores y/o directivos que están detrás de las organizaciones, por lo que hace que este grupo de personas estén sumamente implicadas en implantar estos programas de compliance y demostrar su ética y buen gobierno corporativo.
El compliance debe de aparecer en todos y cada uno de los ámbitos de actuación de una empresa, incidiendo en todas las áreas de que disponga una organización.
¿El área de RRHH y, más concretamente la PRL, está concernida directa o indirectamente, por este tipo de programas de “compliance”?
Por supuesto, los programas de compliance están basados en protocolos e instrucciones de actuación que conciernen a todas las áreas de una empresa. De hecho, el compliance no puede ubicarse únicamente en algún departamento o actividad en concreta de una organización; al contrario, si lo hiciéramos así, nos encontraríamos con un programa de compliance defectuoso o no válido para su cometido, que es la prevención y exención de responsabilidad penal de la empresa.
El compliance debe de aparecer en todos y cada uno de los ámbitos de actuación de una empresa, incidiendo en todas las áreas de que disponga una organización. De este modo, debe de incidir, en concreto, en el área de Recursos Humanos y Prevención de Riesgos Laborales, sin duda alguna. Desde la entrada en vigor de la Ley 31/1995 de Prevención de Riesgos Laborales (PRL), las multas, sanciones, indemnizaciones y consecuencias (económicas y sociales) del no cumplimiento de la normativa de PRL pueden ser muy cuantiosas, además de su trascendencia penal si es el caso. Por lo tanto, hace obligatorio que los programas de compliance contemplen todos los riesgos que de RRHH y PRL pudieran derivarse en las actividades de una empresa, y los contemplen con medidas de prevención de riesgos laborales que puedan demostrar su eficacia y validez ante un acto ilícito, para que la empresa pudiera quedar exenta de sus consecuencias.
¿Puede un correcto programa de compliance exonerar a la empresa de responsabilidad penal?
Efectivamente, tal y como llevamos comentando, la nueva redacción del Código Penal es bastante clara a este respecto, dándonos un único modelo probatorio para las empresas a efectos de exonerar la responsabilidad penal en que podrían concurrir.
Debido a esta última modificación al respecto de la responsabilidad penal, se regula que la demostración de la implantación de un sistema de vigilancia y control preventivo, de los riesgos y delitos penales, eficaz y válido, conllevaría la exoneración o, en todo caso, la atenuación, de una posible responsabilidad penal para la empresa. Sin embargo, y lo que también deja claro la normativa vigente, es que estos programas de compliance implantados en la empresa deben de haber sido adoptados y ejecutados previa comisión del delito, con medidas idóneas de control para reducir o mitigar los riesgos identificados, y siempre que no se haya producido tal ilícito penal por una insuficiente función de control sobre ellas. Hecho que nos conlleva a preguntarnos quién debe de controlar estos programas de compliance.
¿Qué papel juegan los abogados y profesionales de sistemas de gestión en la creación de programas de “compliance”? ¿Quién debe controlar los programas de “compliance”?
El compliance está muy ligado a la figura del abogado, puesto que se hace necesario que la persona encargada de los programas de compliance tenga conocimiento de la normativa penal vigente y de los delitos tipificados por los cuales la empresa pueda acarrear responsabilidad penal, y no sólo eso, sino conocer la forma de comisión de esos delitos para poder prevenirlos. Sin embargo, un abogado no puede saberlo todo, es imposible, y el compliance es una rama muy específica y requiere de un conocimiento concreto de los sistemas de gestión al que un abogado no está acostumbrado.
El abogado conoce toda la cuestión legal y de jurisprudencia, pero difícilmente un abogado no especializado en la materia conoce el desarrollo de las normas estandarizadas, como la UNE 19601 o la SGE 900, que son certificables, que hacen referencia a los programas de compliance. Por lo tanto, la persona que debe encargarse de la creación de estos programas de compliance debe ser un abogado especializado en sistemas de gestión que amparen los modelos de prevención de delitos penales, es decir, que conozca el funcionamiento de los sistemas de normas estandarizadas que guían la actuación de una empresa al cumplimiento de la normativa.
Por ello, las personas que deben controlar estos programas de compliance deben ser profesionales especializados en ambos ámbitos de actuación, que pueden ser tanto internos como externos de la propia organización. Ahora bien, es importante señalar que, si la función de control se hace de forma externa, desprende una mayor objetividad, imparcialidad y transparencia hacia la actuación de la organización, hecho que genera una mayor confianza hacia el mercado respecto al programa de compliance y el buen gobierno corporativo de la empresa.
Basándose en su experiencia profesional ¿En qué tipos de empresa u organización puede ser más necesaria y efectiva la implementación de programas de “compliance””?
No hay un target de tipología de empresa dónde sea más recomendable implantar programas de compliance. Los programas de compliance son necesarios en todas las empresas con facturación, con empleados a su cargo y con proveedores, clientes, colaboradores, que interactúen en las actividades de la empresa. Si que es cierto que las empresas de más tamaño, tanto a nivel de personal como a nivel de facturación, son más susceptibles de concurrencia de los ilícitos penales tipificados, pero no es condición sine qua non. También cabe destacar que, las empresas internacionales, o con más de una sede/delegación, tanto a nivel nacional como internacional, son más propensas a tales ocurrencias. Sin embargo, puesto que esta tipología de empresas sea más clara la necesidad de los programas de compliance y, si bien es cierto que mi experiencia en este tiempo de empresas, en su mayoría ya no cabe un plan de dirección estratégica que no tenga en cuenta un sistema de compliance interno, las PYMES también son tipologías de empresas dónde se hace necesario estos programas de compliance, porque pese a ser de menor tamaño, nada les exime de un supuesto ilícito penal y, hoy en día, cada vez más está llegando esa preocupación y necesidad a los administradores y/o directivos de las PYMES para quedar cubiertos ante estas situaciones.
Si implanto un programa de “compliance” en mi organización, ¿qué beneficios obtendré?
Los beneficios son claros, hay beneficios tanto internamente como hacia el exterior y el mercado en el que se mueve la empresa. Internamente, con los programas de compliance conseguimos controlar los posibles fraudes internos, identificar las actividades más susceptibles de comisión delictiva y reducir riesgos para el futuro y continuidad del negocio, se fomenta la cultura de cumplimiento de todas las personas que integran la empresa y evita posibles errores o ilícitos penales por desconocimiento de las normativas que nos afectan en nuestros sectores de actividad. Además, con ello conseguimos evitar o atenuar las consecuencias penales que hemos ido comentando anteriormente, tanto para la organización como para sus administradores, de posibles incidentes de tipo penal.
Cabe destacar que con los programas de compliance se consigue integrar políticas de comportamiento ético en la gestión y estrategia de la empresa, se reducen los riesgos reputacionales que podrían derivarse de los ilícitos cometidos, ya que se mejora la imagen y la reputación de la empresa al ser una empresa ética, transparente y con un buen gobierno corporativo, además de que se muestra al mercado como una organización responsable que busca cumplir con la legalidad y la normativa vigente.
Los beneficios son claros, hay beneficios tanto internamente como hacia el exterior y el mercado en el que se mueve la empresa.
Neus, por su experiencia como asesora ¿Podría dar algunos ejemplos de buenas prácticas o modelos organizativos en PRL que ayuden a evitar posibles responsabilidades legales?
Son muchos los ejemplos de modelos organizativos para aplicar a una empresa en materia de PRL para evitar posibles responsabilidades legales. Por ejemplo, dentro de las obligaciones legales que debe cumplir cualquier empresa en materia de PRL, está la obligación de formación. La Ley 31/1995 de PRL deja claro en su artículo 19 que “el empresario deberá garantizar que cada trabajador reciba una formación teórica y práctica, suficiente y adecuada, en materia preventiva, tanto en el momento de su contratación, cualquiera que sea la modalidad o duración de ésta, como cuando se produzcan cambios en las funciones que desempeñe o se introduzcan nuevas tecnologías o cambios en los equipos de trabajo”. Esto significa que, para evidenciar que la empresa cumple con esta obligación, se puede crear un Manual de bienvenida de la organización en el que se establezcan las formaciones a realizar en materia de PRL, Manual firmado por cada empleado, y una vez realizada la formación, tener registros de formación de todos los empleados a los que se le ha facilitado la sesión formativa, así como a posteriori, realizar un cuestionario de evaluación para conocer el grado de conocimiento y satisfacción, y si hay alguna cuestión que no haya quedado clara. Estos ejemplos que hemos mencionados son protocolos y medidas para evidenciar que efectivamente se lleva a cabo la obligación de la formación, y que hay un feedback por parte de cada empleado.
Son muchos los ejemplos de modelos organizativos para aplicar a una empresa en materia de PRL para evitar posibles responsabilidades legales.
Se ha hablado antes de la UNE 19601, que era la norma certificable. ¿Qué papel juegan aquí las certificadoras en los programas de compliance?
Es evidente que se pueden implantar y aplicar los programas de compliance en las empresas sin que estos programas estén certificados. La regulación del nuevo Código Penal no dice nada a este respecto y no lo estipula como una obligación. Ahora bien, dado la situación del mercado, las doctrinas, la jurisprudencia actual del Tribunal Supremo y las interpretaciones de la Fiscalía, evidencian que no sólo es necesario implantar programas de compliance, sino que es necesario demostrar que esos programas son eficaces y válidos para todas las actividades y procesos de la organización. Es decir, se puede hacer un programa de compliance sin certificación, pero en el contexto real de la sociedad, no es suficiente.
Aquí es donde intervienen las certificadores, ya que éstas pueden evidenciar de una manera objetiva e imparcial la eficacia de los programas de compliance y su grado de cumplimiento para apoyar la exoneración de la responsabilidad penal en ellos.
Y es que, por ejemplo, si se hace un mapa de riesgos, pero éste no se certifica, se tiene doble trabajo ante una problemática legal: por un lado, demostrar que el mapa de riesgos está hecho y, por otro lado, demostrar no sólo que se ha hecho, sino que es realmente eficaz en términos de certificación de lo que el compliance pide. En cambio, si tienes el certificado de cumplimiento de compliance, que tiene que actualizarse cada año, prácticamente tienes la carga de la prueba hecha.
Lo que a veces sucede es que muchas empresas se atreven a llamar compliance a lo que hacen internamente sin garantías de que sea una herramienta sólida para la empresa que la contrata en caso de necesitarla. Por lo tanto, no sólo es hacer el programa de compliance, sino que se hace necesario que una certificadora que evidencie que lo que establece su programa de compliance, se hace efectivo y se aplica con total garantías en la empresa, para que pueda exonerar la posible responsabilidad penal. Y esto debe actualizarse cada año, para estar conforme al contexto de la empresa en cada momento, por tanto, no es una cosa que se hace una vez y ya está, sino que se tiene que mantener y ser un sistema vivo, para que quede a la salvaguarda la responsabilidad penal de la sociedad y que el culpable sea, no el administrador y/o directivo, sino la persona física que ha ejecutado el ilícito.
Muchas gracias Neus.