La Circular 1/2016 de la Fiscalía General del Estado sobre la responsabilidad penal de las personas jurídicas conforme a la reforma del código penal efectuada por la ley orgánica 1/2015 establece instrucciones generales para valorar la eficacia de los planes de compliance en las empresas. La misma sienta las bases de lo que se entiende por una gestión transparente y establece los requisitos que deben cumplir los modelos de organización. También ofrece pistas claras sobre los soportes ideales para llevarlos a cabo.
La reforma de 2015 regula los programas de cumplimiento normativo o compliance guides de las empresas. Se recoge, entre otras medidas, que la persona jurídica quedará exenta de responsabilidad si el órgano de administración ha adoptado y ejecutado, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control para prevenir delitos o para reducir el riesgo. En el caso de personas individuales, el objetivo es determinar si se ha cometido el delito eludiendo los modelos de organización y de prevención. Por último, también se toma en cuenta si el órgano de control no ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión y vigilancia.
El legislador da algunas pistas sobre los modelos de organización y gestión que podrían asegurar la que dicha supervisión ha sido ejercida. La norma recoge que “la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado un modelo de organización y gestión que resulte adecuado para prevenir delitos (…) o para reducir (…) el riesgo de su comisión”. En este sentido, el programa de compliance debe cumplir los siguientes requisitos:
- Identificar las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
- Establecer los procedimientos que concreten el proceso de adopción de decisiones y de ejecución de las mismas.
- Disponer de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos.
- Imponer la obligación de informar de riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento del modelo de prevención.
- Establecer un sistema disciplinario que sancione el incumplimiento de las medidas que establezca el modelo.
- Realizar una verificación del modelo y de su eventual modificación.
La primera condición que el legislador impone al órgano de administración es que éste haya “adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión” que contengan medidas de vigilancia y control. Los requisitos de tales modelos se recogen en el apartado 5 del art. 31 bis., que establece que los programas deben ser claros, precisos y eficaces, además de estar redactados por escrito. La Ley establece que no basta la existencia de un programa de compliance, sino que los modelos de organización y gestión deben estar adaptados a la empresa concreta y a sus riesgos.
Análisis del soporte del programa de compliance: la digitalización como clave del control
¿Cuál es el mejor soporte para diseñar el programa de compliance que responda a estos requisitos? El legislador también nos da una pista cuando dice que “en las empresas de cierto tamaño, es importante la existencia de aplicaciones informáticas que controlen con la máxima exhaustividad los procesos internos de negocio de la empresa. En general, pues depende del tamaño de la empresa, ningún programa de compliance puede considerarse efectivo si la aplicación central de la compañía no es mínimamente robusta y ha sido debidamente auditada”.
Redactar y aplicar un programa de compliance a través de medios manuales, basados en documentación física, es posible. Sin embargo, su robustez, es decir, su efectividad como instrumento de transparencia y control documental, difícilmente podrá ser la misma que cuando el programa está soportado por una solución tecnológica que permite automatizar los procesos y conservar las pruebas documentales.
Las soluciones de software de cumplimiento normativo deben estar diseñadas de manera que faciliten el trabajo basado en la documentación compartida y la transparencia en la información en el Consejo de Administración. Deben comprender las herramientas necesarias para el cumplimiento de los criterios de buen gobierno, incluyendo el reporte y grabación del proceso de toma de decisiones.
En este sentido, detectamos hay cuatro pasos críticos:
- Reuniones: con instrumentos para la transparencia y colaboración eficaz entre los miembros del Consejo de Administración, que les permiten disponer de toda la información en el mismo momento.
- Conocimiento: por una parte, el grupo trabaja siempre sobre la última versión del mismo documento; además, la gestión de los permisos de descarga y modificación permite que cada miembro accede solo a la información que necesita.
- Acciones: con instrumentos para la definición de tareas, su seguimiento y el control de lo realizado por cada miembro. Entre una reunión y otra se puede observar el progreso en las tareas y se incrementa la efectividad en su seguimiento.
- Control de riesgos: una herramienta de gestión de riesgos que posibilite el análisis y prevención de problemas adaptados a las características de cada compañía es muy necesaria para prevenir problemas. Es interesante que la misma esté integrada en la información disponible en las reuniones para que se disponga de toda la información sobre riesgos y controles.
Podemos concluir que la herramienta así concebida responde a los requisitos de la reforma del Código Penal, que introduce como causa de exención de la responsabilidad penal de la persona jurídica la existencia de un programa de cumplimiento normativo que conlleve una reducción del riesgo de comisión de delitos. No cabe olvidar que la información recogida por el software puede constituir un apoyo legal para demostrar el cumplimiento normativo de la legislación relacionada con la transparencia y buen gobierno empresarial.