La gestión de los riesgos penales y, por ende, la articulación de cauces efectivos en las empresas que eviten la comisión de delitos en su seno se ha de llevar a cabo mediante el establecimiento de programas eficaces de Compliance que sean conformes con las prescripciones del artículo 31 bis 5 del Código Penal (Aquí).
Vistas las consecuencias que para las personas jurídicas puede tener la omisión no solo de unas medidas destinadas a evitar delitos, sino a instaurar una verdadera cultura de comportamiento ético en la empresa dentro de la cual habrá de estar incluido el Plan de prevención específico de las conductas tipificadas en el Código Penal (ver aquí), se hace aconsejable hacer extensiva la acción al cumplimiento normativo en general.
Por ello, a la hora de establecer la delimitación y ámbito de aplicación del plan debería ampliarse como mínimo también a la privacidad y protección de datos (Information Tecnology (IT)), con la inserción de un mapa legislativo ad hoc y la recomendación de adaptación del programa al modelo de cultura de buenas prácticas contenidos en las normas ISO.
Otras leyes que deben verse incluidas en los Programas de Compliance, al margen del Código Penal, son las referentes a la prevención de riesgos laborales, prevención del blanqueo de capitales y de la financiación del terrorismo, así como aquellas de carácter interno que reflejen la filosofía de cumplimiento de la empresa (contra el mobbing, acoso sexual y favorecedoras de la igualdad, por ejemplo).
Todo esto consume una serie de recursos. Obviamente también de carácter económico. Teniendo en cuenta lo que previenen, deberían darse por bien empleados.
Sistema de Control o el qué se quiere evitar
Lo primero que se precisa es efectuar una diagnosis, es decir, un mapa de riesgos de la empresa que incluya la evaluación y el análisis de las consecuencias.
Para ello se identificarán los riesgos a través de los tipos penales susceptibles de incurrir según la actividad de la empresa, su situación económica, su historial, la cultura de Compliance que ya pudiera existir en la misma y aspectos relacionados con el personal (muchos empleados o pocos, fijos, rotacionales, etc). Esta información se conseguiría a través de entrevistas, documentación y hemerotecas.
Habrá que establecer el análisis de los impactos en función de las penas aplicables y el daño reputacional. Este último aparece desde el primer momento, elaborando así el mapa de riesgos en relación al estudio de los mismos que permita tomar las decisiones acertadas en cuanto
a) Asumir los de probabilidad remota o improbable
b) Desaconsejar las actividades que pudieran dar lugar a riesgos de probabilidad casi cierta y de impacto catastrófico en cuanto no haya implantadas medidas que mitiguen o eliminen el nivel de riesgo
c) Descartar aquellas de probabilidad posible en tanto no se cuente con medidas que reduzcan la contingencia o sus consecuencias derivadas.
El cómo. Plan de Acción y Prevención. Protocolos y procedimientos para definir, implementar y controlar el mismo
El plan de Acción y Prevención ha de contener los protocolos y procedimientos de definición, implementación y control del sistema. Podrían dividirse en 6.
1.- Código Ético.- Define la identidad y los valores de la organización, los actos intolerables y la independencia o alejamiento de la cultura de la empresa sobre aquellos ilícitos o actos fraudulentos que se le puedan atribuir. Se habrá de determinar el alcance de dicha política que debería extenderse a todas las filiales, grupos y sucursales en el extranjero; la adhesión a unos principios como por ejemplo la prevención del blanqueo de capitales, a la protección de los derechos humanos, a la sostenibilidad; pautas a seguir con los clientes (como transparencia en la información y técnicas de mercadotecnia apropiadas, respeto a la privacidad, seguridad y salud etc); actuación con los empleados (cumplimiento de la normativa laboral, políticas de igualdad, transparencia en la contratación, lucha contra el mobbing etc); relaciones con los proveedores (basadas en la objetividad, la transparencia, la restricción en la dación y aceptación regalos); instituciones públicas (que tengan como marco las anteriores y eviten las conductas corruptas); tratamiento de la información (basadas en la confidencialidad); el respeto al medio ambiente; revisión del Código cuando las circunstancias cambien; establecer el obligatorio cumplimiento para todos, con medidas control cumplimiento y un régimen disciplinario, así como Canales de denuncia e identificación de un Área de Cumplimiento.
2.- Procedimientos.- Que respondan a los riesgos identificados para prevenirlos o mitigar/eliminar sus consecuencias negativas para la empresa caso de producirse. Mediante un sistema de titulación y un cuadro resumen que incluya área afectada, objetivos, normativa, documentación, ubicación, código, control de versiones, objetivo y alcance del documento, controles previstos e incumplimiento de los controles. Todo ello incluido en un Manual de Prevención de Delitos en el que se identificaran los procesos en los que puedan ser cometidos, procedimientos o protocolos de toma decisiones, recursos financieros para la prevención, procedimientos de información al órgano de vigilancia y control de riesgos, procedimiento de control con identificación del órgano o identificación del Compliance Officer, un sistema disciplinario y la verificación periódica del mismo.
3.- Comunicación efectiva y evidenciada a las partes implicadas.- Acciones de formación, concienciación y awareness para probar la diligencia debida con reportes de recepción y entendimiento de la información a empleados, proveedores, clientes, consumidores y usuarios web.
4.- Controles Técnicos en Sistemas.- Monitorización y Alertas. Sistemas de vigilancia, seguridad y control para comprobar el cumplimiento de los procedimientos con posibilidad de recopilar indicios y evidencias forenses sobre acontecimiento de hechos y su autoría.
5.- Canal de denuncias.- Sistema divulgado y respaldado por la dirección al que tengan acceso los empleados y todos los que contraten con la empresa, de fácil acceso y que permita denunciar todos los comportamientos tipificados como irregulares por la corporación. Con garantías de confidencialidad y de no represalias y un procedimiento de tramitación y resolución. Este sistema se puede externalizar, lo que en la mayoría de las circunstancias contribuirá a aumentar su eficiencia. En cuanto a si las denuncias han de ser nominadas o anónimas, si bien la normativa de la Comunidad Europea recomienda el anonimato, nuestra LOPD lo prohíbe y sanciona.
6.- Métricas, indicadores y cuadros de mandos del Compliance.- Para señalar la medida de cumplimiento, eficacia, eficiencia, pasado y futuro del Plan de Compliance.
Por último, repetir algo que ya venimos avisando y es que los Manuales al peso no sirven de nada. No se trata de la simple adquisición de un mamotreto y de un programa informático. Estamos ante la creación de una cultura de empresa que refleje políticas efectivas de comportamiento ético en las mismas que, más allá de unos principios y en supuestos de fallas, puedan hacer efectiva la aplicación de circunstancias eximentes o atenuantes para las personas jurídicas en el transcurso de un proceso penal.
Solo espero que al que quiera tener un acercamiento general a lo que consiste un Plan de Compliance y cómo se implanta en una empresa, este post pueda serle de alguna utilidad.
Presunción de inocencia 
Debe estar conectado para enviar un comentario.