El cumplimiento regulatorio existe desde 2005, y se encarga de verificar, monitorear y asesorar a una organización en los campos de actividad en los que pueda sufrir sanciones, multas, pérdidas financieras o daños en su reputación.
Los riesgos legales encuentran su origen en las decisiones y actuaciones humanas, sean de carácter individual, colectivo u organizacional. El cumplir con las leyes o normas que regulan la prevención, control, supervisión y vigilancia de estos riesgos debería traducirse en la posibilidad de que las empresas puedan demostrar el cumplimiento ante las autoridades en caso de ser necesario acreditarlo y valorarlo; sin embargo, se le da más importancia al costo del incumplimiento, pues no existen mecanismos claros para valorarlo en el ámbito corporativo.
El concepto cumplimiento regulatorio o compliance, acuñado en 2005 por el Comité de Supervisión Bancaria de Basilea, se definió como una función independiente que verifica, monitorea y asesora a una organización en los campos de actividad en los que pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a la actividad.
El compliance tiene un costo. En primer lugar, porque para que sea una función dentro de la empresa es indispensable contar con un protocolo de actuación destinado a evitar que se pueda aplicar a la organización, sus medios y recursos, para cometer un delito del que tendría que responder la propia persona jurídica, de acuerdo a Leandro Martínez y Purificación Pujol en la Guía para prevenir la responsabilidad penal en la empresa.
El problema es que, como en tantas otras actividades que realiza el ser humano, los costos no siempre pueden reflejarse en un informe contable o a través de pruebas contundentes y objetivas, pues algunos costos suelen ser relativos y poco cuantificables El costo del compliance legal en la empresa, como persona jurídica, es un tema que cobra especial relevancia a partir de las reformas al Código Nacional de Procedimientos Penales (CNPP) en 2014, cuyo Capítulo II del Título X del Libro Segundo contempla la responsabilidad penal de las personas jurídicas, al determinar las sanciones o consecuencias (artículo 422) y, a nivel federal, correlacionado con el artículo 11 bis del Código Penal Federal (CPF), se establecen ciertos límites de punibilidad para las consecuencias jurídicas.
Asimismo, este dispositivo federal señala las sanciones que se impongan a las empresas, […] podrán atenuarse hasta en una cuarta parte, si con anterioridad al hecho que se les imputa […] contaban con un órgano de control permanente, encargado de verificar el cumplimiento de las disposiciones legales aplicables para darle seguimiento a las políticas internas de prevención delictiva y que hayan realizado antes o después del hecho que se les imputa, la disminución del daño provocado por el hecho típico.
Por lo anterior, un abogado apasionado del litigio en relación con la responsabilidad penal de las empresas considera importante contribuir al debate en México junto con el gremio de los contadores y expertos en Finanzas, sobre la necesidad de analizar y construir modelos que contribuyan a unificar criterios sobre el costo del cumplimiento regulatorio en materia de compliance legal en las empresas, esto ante la posibilidad de que las empresas deban defenderse procesalmente con motivo de afrontar procedimientos legales, donde se les cuestione de un indebido control organizacional, defectos o deficiencias en su gestión (managment), así como por falta de control, supervisión, vigilancia o auditoría respecto a posibles faltas o delitos que puedan cometerse en su seno empresarial.
POLÍTICA INTERNA DE PREVENCIÓN DELICTIVA
Contar con un órgano de control permanente, como lo dispone el ordenamiento federal, permite interpretar que se refiere a la conveniencia de adoptar y mantener cualquier sistema o programa que realice funciones de compliance legal. Lo fundamental es que la organización cuente, antes del hecho delictivo, con una PIPD que establezca muros (barreras de contención humana y automatizada) y alertas (aviso complementario de los muros que puede revestir la modalidad de cápsulas de aviso inmediato) sobre la presencia de riesgos en el cumplimiento, relativos a las leyes, la normatividad, la regulación por sectores, la Normas de Información Financiera (NIF) y buenas prácticas corporativas.
La PIPD debe dirigirse de manera directa y exclusiva a la prevención y detección de posibles engaños, ilícitos, delitos y errores atinentes a la actividad propia y específica de la organización, pero no sólo relacionados con el objeto social de la persona jurídica, sino también con las actividades que desarrolla en su ámbito empresarial.
Se considera que el órgano de control debe entenderse como una política, porque no todas las organizaciones tienen los recursos para contar con un área especializada, órganos de control dentro de su gobierno corporativo o con un oficial de cumplimiento interno y permanente. Las modalidades de esa política varían, algunas compañías cuentan con un sistema sofisticado, en el que la organización tiene un cuerpo formado por profesionistas o especialistas en las diversas ramas del compliance, como el oficial de cumplimiento en información, el oficial de control financiero, el auditor interno y el oficial de TI (IT compliance leader), o las que cuentan con un oficial de cumplimiento (chief compliance officer), que coordina los esfuerzos de cumplimiento legal en las diversas áreas. También existen organizaciones que, de manera más sencilla, implementan una política con base en la contratación de los servicios externos de compliance legal que prestan algunos despachos de abogados o contadores, esto es, acuden a los servicios tercerizados (outsourcing) para la subcontratación de algunas medidas de control, vigilancia y supervisión temporales o permanentes. Sin embargo, hay otras personas jurídicas, empresas emprendedoras, de pequeñas dimensiones y con recursos muy limitados, que desarrollan, consciente o inconscientemente, ciertas actividades básicas de control interno.
Cada una de estas modalidades de compliance implican diversos gastos que pueden llegar a sumar cantidades que para algunos pueden convertirse en cargas excesivas. De esto se hablará más adelante, pero es importante señalar que más allá de la modalidad que revista la PIPD, la cuestión planteada sobre el costo del compliance trasladado al terreno penal, ya no versa sólo sobre si la empresa cuenta o no con una PIPD que pueda esgrimir como prueba para atenuar la sanción, según lo dispuesto en el último párrafo del artículo 11 bis del CPF a que hemos hecho referencia, sino que hoy algunos tratadistas y juzgadores se plantean el grado de control, a saber, su nivel de intensidad y la posibilidad de medirlo cuantitativamente de cara a que puedan hacerse valer las causas atenuantes o eximentes con mayor o menor peso procesal específico, pues no es lo mismo contar con una PIPD, que depende de un contador o asesor externo, que contar con un sistema interno de monitoreo automatizado, canales de comunicación, códigos de conducta y cursos de actualización para el personal. Los medios y medidas de prevención pueden ser de diverso nivel y costo (económico o humano); además, del tamaño, actividad y vulnerabilidad al riesgo de la organización. De ahí que se hable del costo como un indicador del grado de la PIPD, pero para hablar de niveles de costo es necesario que antes veamos los elementos con los que debe contar.
ESTRUCTURA MÍNIMA DE LA PIPD
Los siguientes rubros se enuncian como propuesta de configuración de un programa adecuado de compliance penal:
- Una voluntad organizacional expresa y manifiesta, o sea, adoptada y asumida por los máximos órganos de decisión y administración de la empresa. El objetivo es documentar la decisión, formalizar el acta o el acuerdo interno de los órganos de gobierno corporativo; decisión y voluntad de adoptar e implementar la PIPD en la empresa.
- Un mapa o diagnóstico de riesgos penales elaborado con base en la información sobre las condiciones particulares de la organización y en los catálogos de delitos establecidos en los códigos penales aplicables. Incluidas las matrices de análisis de racionalidad inherentes a la clasificación de cada riesgo o vulnerabilidad penal en concreto.
- Un plan de acción, mitigación o remediación de riesgos, tiempos y personas encargadas de liderar protocolos o procedimientos. Identificación de prioridades y categorías o criticidad de riesgos para su gestión y administración siempre actualizables. Es fundamental que en todo momento, antes y durante la implementación de la PIDP se consoliden las evidencias y el acreditación documental y audiovisual para demostrar el debido cumplimiento organizacional, en caso de ser requeridos por las autoridades.
- Un órgano de control encargado del seguimiento, verificación y supervisión del cumplimiento de la PIPD, cuya existencia sea permanente en la organización.
- Disposiciones o normas redactadas con un lenguaje claro y común para conocimiento y comprensión de todo el personal a cualquier nivel de la empresa, incluidos clientes y proveedores, así como terceros.
- Un documento escrito que puede ser manual, modelo, protocolo o programa de cumplimiento normativo organizacional para la prevención de delitos que esté autorizado por el consejo de administración, asamblea de socios, comités o la máxima autoridad societaria.
- Palancas o mecanismos de control, supervisión y vigilancia operacional a nivel de personas, data o información, comunicaciones, infraestructura, mobiliario o equipamiento, instalaciones, procesos, subprocesos y del sistema organizacional en su conjunto, incluida la auditoría transversal y la trazabilidad correspondiente.
- Canal de denuncias internas y externas (whistleblower) armonizado con un sistema disciplinario de acceso permanente, lineamientos o instrumentos que faciliten la denuncia y medidas para la guarda y custodia de la información en proporción con los riesgos penales.
- Sistema disciplinario congruente con su código de conducta, políticas internas en general y lineamientos en materia laboral conforme a los principios de transparencia y previo consentimiento.
- Programa de selección, incluidos background checks, de contratación y capacitación continua de personal, acorde con la naturaleza y perfiles laborales, incluida la formación y capacitación constante y acreditable de la PIPD.
- Control de costos de cumplimiento normativo y regulatorio, reflejado en los registros, balances, contabilidad y estados financieros de la organización, susceptibles de informarse, para efectos procesales, a las autoridades.
- Área de asuntos internos para prevenir, evitar y, en su caso, contener la comisión de delitos presentes y futuros en el seno de sus organizaciones, capacitados para la seguridad, preservación, extracción, custodia y traslado de evidencia o datos relacionados con un hecho con apariencia de delito. En su caso, servicios previstos a través de un proveedor externo.
- Poderes especiales o facultades de representación legal con cláusulas especiales y expresas para efectos penales, en favor de personas físicas designadas para representar a la persona jurídica o corporación en caso de tener la necesidad de afrontar un procedimiento legal de responsabilidad penal de empresa.
- Nivel de intensidad o grado de cumplimiento. La ley penal no precisa los límites ni alcances de la denominada PIPD, en otros términos, los límites y alcances del compliance penal para acreditar su eficacia. Sin embargo, resulta conveniente implementarla en proporción a los riesgos penales, acordes con el tamaño, la naturaleza operativa y actividades organizacionales, siempre en acatamiento de los principios de legalidad, proporcionalidad, de actualización necesaria, de aproximación basada en riesgos penales, de cumplimiento razonable y de no repetición del hecho delictivo.
Fuente: Revista Veritas, agosto 2019 – Ver artículo original aquí