27 octubre 2016
La figura del compliance officer en las pymes
Por Jorge Álvarez Viñuela, abogado y socio de GRM Audit
Tras la reforma operada en el Código Penal por la LO 1/2015 de 30 de marzo, se introduce en nuestra legislación, la figura del “Legal Compliance”, que trata de prevenir o reducir al máximo las posibilidades de comisión de delitos penales dentro de la empresa eximiendo o atenuando, en su caso, la responsabilidad que por ello se transmitiría a las personas jurídicas, rompiendo así con la antigua posición que ostentaban las mismas en el derecho español, pues carecían de responsabilidad penal (“Societas delinquere non potest”). Se introduce así un modelo de autorregulación normativa en el seno de la empresa.
Dicha figura (el Compliance) no viene sola, sino que trae aparejada multitud de conceptos. Todos ellos forman parte del sistema, pero cada uno tiene un desarrollo y una peculiaridad propia.
Hay que tener presente que el Compliance, que comienza a cobrar auge en nuestro país (y sobre todo en nuestra legislación) a partir de la citada reforma, tiene un origen exterior y más antiguo, por lo que no se ha producido una innovación legislativa sino que se ha tomado un modelo ya aplicado en otros países y economías desarrolladas del mundo moderno.
Dejando a un lado Estados Unidos y centrándonos en Europa por su cercanía y mayor influencia en nuestro modelo, a modo enumerativo, dentro de esta contextualización que estamos proponiendo, se pueden poner dos ejemplos importantes de Compliance: Reino Unido e Italia.
El primero, con un sistema de Compliance que parte de “The Bribery Act. 2010”. Esta ley, a pesar de las críticas recibidas desde la OCDE, vio la luz finalmente tratando el “soborno corporativo” desde todas sus vertientes.
El segundo, Italia, que a raíz de la publicación del Decreto Legislativo 8 giugno 2001, n. 231 -Disciplina della responsabilita’ amministrativa delle persone giuridiche, delle societa’ e delle associazioni anche prive di personalita’ giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300- presenta un sistema de responsabilidad de las personas jurídicas que, aunque es de naturaleza administrativa y no penal se produce por delitos cometidos por sus administradores y dependientes ventilándose finalmente en un proceso penal y ante la jurisdicción penal.
Este último modelo italiano ha sido uno de los grandes inspiradores del Compliance español. Un ejemplo de esta vinculación lo encontramos dentro en el Art.6, núm 1, ap b) del Decreto Italiano al hablarnos del Compliance Officer. En él nos habla de que la tarea de vigilar el funcionamiento y la observancia del modelo tiene que haber sido confiada a un organismo del ente (de la persona jurídica) dotado de poderes autónomos de iniciativa y control, guardando un parecido casi total con lo expuesto en el Código Penal Español.
En este sistema de Compliance se inserta el concepto de Compliance Officer, sobre el que existe una gran confusión ya que quien ostenta este cargo no es el encargado de elaborar el Programa de Cumplimiento Normativo o Compliance Program. El Compliance Officer, por el contrario, se traduciría en nuestra legislación como el Órgano de vigilancia.
Para comprender la función que desempeña esta figura lo correcto es comenzar con lo que nos dice nuestro Código Penal:
Art. 31 bis, Ap. 2, Condición 2ª
- Si el delito fuere cometido por las personas indicadas en la letra a) del apartado anterior, la persona jurídica quedará exenta de responsabilidad si se cumplen las siguientes condiciones:
2.ª La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica
IMPORTANCIA DEL COMPLIANCE OFFICER
En primer lugar, hay que tener claro que la importancia del Compliance Officer radica en que su presencia se hace exigible como requisito primordial para que el Programa de Cumplimiento Normativo pueda llegar a exonerar de la responsabilidad penal a la persona jurídica.
Cuestión importante en este punto sería saber quién puede o quién debe ocupar dicho cargo. Si acudimos de nuevo al Código Penal en el Art.31 bis, Ap. 3 se permite que dichas funciones sean desempeñadas por el Órgano de Administración siempre y cuando la empresa presente Cuenta de Pérdidas y Ganancias abreviadas:
- En las personas jurídicas de pequeñas dimensiones, las funciones de supervisión a que se refiere la condición 2.ª del apartado 2 podrán ser asumidas directamente por el órgano de administración. A estos efectos, son personas jurídicas de pequeñas dimensiones aquéllas que, según la legislación aplicable, estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada.
Según el art. 258 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital:
- Podrán formular cuenta de pérdidas y ganancias abreviada las sociedades que durante dos ejercicios consecutivos reúnan, a la fecha de cierre de cada uno de ellos, al menos dos de las circunstancias siguientes:
- a) Que el total de las partidas de activo no supere los once millones cuatrocientos mil euros.
- b) Que el importe neto de su cifra anual de negocios no supere los veintidós millones ochocientos mil euros.
- c) Que el número medio de trabajadores empleados durante el ejercicio no sea superior a doscientos cincuenta.
Las sociedades perderán la facultad de formular cuenta de pérdidas y ganancias abreviada si dejan de reunir, durante dos ejercicios consecutivos, dos de las circunstancias a que se refiere el párrafo anterior.
- En el primer ejercicio social desde su constitución, transformación o fusión, las sociedades podrán formular cuenta de pérdidas y ganancias abreviada si reúnen, al cierre de dicho ejercicio, al menos dos de las tres circunstancias expresadas en el apartado anterior.
COMPLIANCE OFFICER EN LAS PYMES
Aún con esta posibilidad que nos otorga la Ley, puede que haya casos en que sea más aconsejable para la pequeña y mediana empresa que la función de Compliance Officer esté ostentada por un órgano colegiado para poder dividir tanto las funciones como la toma de decisiones y responsabilidades. Esto es algo clave, ya no solo en cuanto al Compliance Officer, sino en referencia a todo el programa de Compliance en sí, ya que una de las medidas más importantes de evitación y disminución de riesgos penales es que exista una disgregación en las funciones a desempeñar. No obstante, también puede ocurrir que la empresa se encuentre más cómoda nombrando un órgano unipersonal, atendiendo a la eficacia y rapidez de actuación que tendría el que se ejercieran las funciones por una sola persona.
Sea como fuere, lo que queda claro es que, actualmente, la legislación penal no establece ningún requisito formal, pues al hablar de “órgano de la persona jurídica” y no de “organismo” (como es el caso del Decreto Legislativo 8 giugno 2001, n. 231) parece que el legislador deja abierta la puerta a cualquier opción y, aunque en la mayoría de los casos lo más recomendable pueda ser la existencia un órgano colegiado, la empresa puede tomar la decisión que mejor se adapte a la misma. Recalcar que además dicha opción también la ha expuesto la Fiscalía General del Estado en su Circular 1/2016 al decir que el mismo “podrá estar constituido por una o varias personas”.
En cuanto a la opción de externalizar o no dicha función, nos encontramos con la misma posibilidad que en el caso anterior, pues nada nos dice el legislador. Aunque aquí, sí que parece que el fin principal de la autorregulación normativa que el Compliance otorga a las personas jurídicas, aleja la opción de externalización total de dicho cargo. Es más, en la Circular 1/2016 de la Fiscalía General del Estado se utiliza la expresión “necesariamente” en referencia a que el órgano debe pertenecer a la persona jurídica. Lo que sí podría llegar a darse, dependiendo de la empresa ante la que nos encontremos, es que se produzca una externalización parcial, como apoyo de los miembros que ostentan el cargo, y que junto a integrantes de la propia empresa esté presente en el órgano de Compliance Officer.
En lo referente al perfil de miembros que deben formar parte de ese órgano, pudiera pensarse que es necesario que el cargo se ostente por alguien que tenga un exclusivo conocimiento jurídico penal ya que la responsabilidad penal es el origen del Compliance, pero no tiene porqué ser así.
Cada tipo de empresa necesitará un perfil de Compliance Officer determinado que, aunque deba guardar un perfil jurídico-económico para ser más competente, lo más importante es que tenga un conocimiento amplio de la empresa, de su funcionamiento, del ámbito en el que opera… etc. para así garantizar el cumplimiento efectivo de sus funciones. Por lo que la empresa deberá buscar una configuración determinada del órgano. Bien unipersonal, formado por una persona y con una serie de asesores competente cada uno de ellos en una materia determinada (auditores, contables, especialistas en RRHH, abogados…), o colegiado, constituido por un compendio de responsables y especialistas de la propia empresa.
Es de recibo mencionar en este punto, qué aspectos se hacen necesarios a la hora de elaborar de manera correcta un programa de Compliance. Es decir, remarcar y dejar fijadas una serie de pautas que sirvan como estatutos de dicho órgano, garantizando su imparcialidad y compromiso con sus funciones.
En lo referente a estas, el Art. 31 bis nos dice que serán las de “supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado”. Las tareas y labores de la persona o personas que ostenten dicho cargo son primordiales para la adecuada evolución y adaptación del programa de Compliance a las circunstancias que se puedan llegar a dar, tales como modificaciones estructurales, cambios legislativos, ampliación de la plantilla etc…, haciendo que el fin principal del programa de cumplimiento normativo se lleve a cabo por completo y no sea exclusivamente la exención de la responsabilidad penal final, sino que se instaure una cultura de actuar en consonancia con la normativa en todos los estatus de la empresa.
Este es el motivo principal y más importante de la función del Compliance Officer en la empresa: guiar el programa de cumplimiento normativo dentro de la misma. No sólo para mantenerlo actualizado sino para que, en última instancia, en caso de una posible responsabilidad penal de la empresa se pueda constatar que las medidas del programa que se comenzaron a aplicar en su momento siguen siendo funcionales y adecuadas para evitar riesgos penales.
Llegados a este punto, es completamente necesario hacer referencia al fragmento del Código Penal donde establece que el órgano de vigilancia dispondrá de “poderes autónomos de iniciativa y de control”. Con esto queda claro que, a la hora de constituir el órgano de cumplimiento dentro de la empresa, aquél tendrá una posición jerárquica paralela al órgano de administración, debiendo rendir cuentas a éste pero desde una situación de autonomía, transfiriéndole esa posición de “garante del deber de diligencia” que el órgano de administración ostenta en la persona jurídica (Art. 225 LSC). Esto es algo clave, pues el órgano de administración debe asumir y transferir dicha posición de autonomía para que el Compliance Officer pueda ejercer sus funciones de forma correcta.
Por ello debe de quedar claro que, aunque no hay una transmisión total del deber de diligencia, el Compliance Officer puede llegar a ser responsable de un delito penal dentro de la empresa por incumplir sus funciones de vigilancia dentro de la misma si en última instancia se cometiera un delito por incumplimiento de sus tareas de supervisión y control (“culpa in vigilando”). Ello sin olvidar que la propia administración de la empresa debe escoger para dicho cargo a la persona adecuada, lo cual puede llegar a producir también responsabilidad en ella por una falta de diligencia al escoger a quienes formarán parte del mismo (“culpa in eligendo”).
Si tuviéramos que hablar de las funciones concretas a desempeñar por un Compliance Officer podríamos nombrar como las más características a la vista de lo que establece la Fiscalía en su Circular 1/2016 o lo que expone la ISO 19600, las siguientes: asesorar en la toma de decisiones empresariales que tengan relación o puedan afectar al Programa de Cumplimiento Normativo.
Efectuar una divulgación dentro de la empresa del Compliance, tanto entre sus miembros como con terceros que lleguen a tener relación con ella. Ésta última es muy importante ya que, como hemos repetido a la lo largo de esta exposición, una de sus funciones principales es la de vigilar el correcto funcionamiento del programa de Compliance, pero llega un punto en que la capacidad de control se ve mermada por la amplitud de momentos y situaciones que pueden escapar a su conocimiento y es aquí donde cobra suma importancia la labor de los miembros de la empresa.
Se produce por tanto una sinergia entre los principales requisitos que un programa de Compliance debe cumplir. Y es que, aparte de la existencia de un Compliance Officer debe existir un canal de denuncias gestionado por éste como medio de comunicación de irregularidades tanto para los trabajadores como para las personas externas a la empresa:
Art.31 bis, ap. 5, párrafo 4º Código Penal: “Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. “
Con ello queda patente que es necesario que haya un cauce de comunicación entre el Compliance Officer y los trabajadores y que en función del potencial y de la funcionalidad de aquél dependerá en buena medida el buen fin del programa de Compliance y la realización efectiva de las funciones del Compliance Officer.
Hoy en día existen muchas vías de canal de denuncias en el mercado, por lo que parece recomendable escoger entre ellas la que permita un acceso rápido y eficaz desde cualquier lugar garantizando la comunicación de irregularidades cometidas respecto a medidas y controles del programa de Compliance. Pero no solo eso, sino que deben servir también para conocer fallos o mejoras en el funcionamiento de la empresa. Para ello, lo más aconsejable suele ser la utilización de los sitios Web o las Apps que facilitan el uso y tratamiento de las comunicaciones más allá del simple envío, ya que añaden la capacidad de gestión, hablando más que de Canal de Denuncias, de Sistema de Gestión de Denuncias.
CONCLUSIONES
Queda patente que en la actualidad el órgano de administración debe dotar al Compliance Officer de todas las herramientas y medios que estén al alcance de la pyme para que le ayuden en las tareas a realizar.
En referencia a su regulación, el vacío y el silencio legislativo que existe ante muchas de las características del Compliance Officer hace que las posibilidades de desarrollo y extensión del mismo sean muy amplias, pero está constatado que es la pieza clave y fundamental que toda empresa debe tener en ella para que el Programa de Compliance cumpla con su cometido, y que tan importante como el que exista es que actúe con la diligencia debida.