La Norma UNE 19601 confía al órgano de compliance penal la supervisión del funcionamiento y observancia del sistema de gestión de compliance penal. El contenido de esta definición viene condicionado por la redacción de nuestro Código penal, provocando un redactado distinto al que establecen los estándares ISO 19600 para la función de compliance, e ISO 37001 para la función de cumplimiento anti-soborno.
En cualquier caso, la Norma UNE 19601 admite todas las configuraciones del órgano de compliance penal amparados por el Código penal: atribuir sus funciones al órgano que tenga legalmente encomendada la función de supervisar la eficacia de los controles internos de la persona jurídica, un órgano ad-hoc dotado de poderes de iniciativa y control, o el propio órgano de gobierno en personas jurídicas de pequeñas dimensiones. Con independencia de su configuración, una cuestión importante es discernir hasta dónde alcanzan sus capacidades decisorias, dato importante para concretar la extensión real de sus responsabilidades legales.
Responsabilidad criminal
La Circular 1/2016 de la Fiscalía General del Estado señala que el oficial de cumplimiento no tiene una responsabilidad criminal mayor que cualquier otro cargo directivo. Sin embargo, las capacidades de organización y control de este grupo no son en absoluto homogéneas, lo que impide ecualizar su responsabilidad: no es comparable el directivo cuya potestad de organización le permite articular amplias medidas organizativas y decisiones de negocio, del que restringe sus competencias a unas actividades muy limitadas. En este sentido, ni los estándares ISO 19600, ISO 37001 ni la Norma UNE 19601 establecen que la función u órgano de compliance penal sea un foro de “decisión”, circunscribiendo sus cometidos a la “supervisión”. Y tal circunstancia, en absoluto intrascendente, se valora desde diferentes perspectivas.
En primer lugar, el empleo del término “supervisión”, tanto en el Código penal como en la Norma UNE 19601 no es banal, pues supervisar la operativa del sistema de gestión de compliance penal no equivale a adoptar decisiones que entrañen riesgo penal por cuenta de la organización. Si analizamos las competencias que asigna el estándar español al órgano de compliance penal, coincidentes con las que relaciona el Libro Blanco sobre la Función de Compliance, veremos que ninguna de ellas supone directamente la adopción de decisiones que entrañen riesgo penal, sino la operación diligente del sistema de gestión de compliance penal, incluyendo manifestarse ante situaciones de riesgo detectadas –pero no decidir sobre ellas-. El único escenario donde el órgano de compliance penal dispone de capacidades amplias de decisión concurre cuando coincide con el órgano de administración social, en personas jurídicas de pequeñas dimensiones. Pero incluso en ese supuesto, sus capacidades decisorias derivan de su condición de órgano de gobierno, y no como órgano de supervisión.
En segundo lugar, y afirmando la posición anterior, las modalidades de órgano de compliance penal admitidas tanto en el Código penal como en la Norma UNE 19601 están sometidas jerárquicamente al órgano de gobierno. No instauran un órgano de compliance penal con capacidad de vetar las decisiones con riesgo penal adoptadas por el órgano de gobierno o la alta dirección.
Ley de Sociedades de Capital
En tercer lugar, la Ley de Sociedades de Capital considera indelegables determinadas competencias relacionadas con la gobernanza y la supervisión. Por lo tanto, el órgano de administración social no puede inhibirse de sus responsabilidades en la toma de decisiones y supervisión del control penal. Toda delegación articulada en ese sentido puede interpretarse como una abdicación irresponsable o incluso dolosa, cuando se realiza para zafarse de las responsabilidades inherentes a su cargo.
En cuarto lugar, la Norma UNE 19601 establece los diferentes roles, responsabilidades y autoridades en materia de compliance penal, dejando claro los cometidos de los máximos protagonistas en esta materia: el órgano de gobierno, la alta dirección y el órgano de compliance penal. Se espera de este último que evalúe el sistema de gestión y transmita sus conclusiones a la alta dirección y al órgano de gobierno, que son quienes disponen de la capacidad real para adoptar las decisiones que correspondan. Al articular las actividades de revisión del sistema de gestión en sus apartados 9.3 a 9.5, la Norma UNE 19601 deja claro que el órgano de compliance penal lo “evalúa” sobre la base de las actividades y datos que gestiona, la alta dirección “revisa” su funcionamiento y adopta las decisiones para facilitar el alcance de los objetivos pretendidos, y el órgano de gobierno lo “examina” a la luz de la informaciones recibidas, disponiendo asimismo de las amplias capacidades decisorias que le reconoce la legislación. Las respectivas actividades de “evaluación”, “revisión” y “examen” del sistema de gestión de compliance penal tanto pueden desarrollarse a través de reportes operativos de compliance como de comunicaciones ad-hoc. En cualquier caso, es la indicada interacción de estas tres figuras (el órgano de gobierno, la alta dirección y el órgano de compliance), cada una en ejercicio de sus diferentes roles y responsabilidades, la que consigue que el sistema de gestión de compliance penal opere de manera efectiva.
El rol de compliance
Tanto la Norma UNE 19601 como los estándares internacionales ISO 19600 e ISO 37001 ubican perfectamente el rol de compliance, de modo que en los sistemas de gestión basados en ellos está bien delimitado y, por lo tanto, se puede colegir su responsabilidad legal, sin que sea equiparable a la correspondiente a la alta dirección, ni mucho menos al órgano de gobierno. Obviamente, el Compliance Officer puede llegar a asumir las responsabilidades legales derivadas de sus actos y omisiones, como cualquier otro sujeto de derecho, pero no procede equipararlo alegremente con figuras dotadas de capacidades decisorias reconocidas por la normativa. En el fondo, los estándares de compliance plasman la pura realidad: no se conoce ningún caso donde el Compliance Officer haya destituido directamente a un Consejero Delegado o a un Directivo clave por sus conductas. Cuando se ha producido tal eventualidad, ha obrado siempre mandatado por los órganos o cargos societarios con capacidad legal y atribuciones inherentes al respecto.
Recurrir a la Norma UNE 19601 permite establecer un marco de gobernanza bien definido del sistema de gestión de compliance penal, lo que brinda seguridad para todos, incluido especialmente el Compliance Officer.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación