Gestión de la Responsabilidad Penal de la Persona Jurídica a través de la UNE 19601

23/10/2017
 

Gestión de la Responsabilidad Penal de la Persona Jurídica a través de la UNE 19601

 
El Código Penal establece que las empresas (y personas jurídicas en general) pueden ser responsables de determinados delitos, siempre que sean cometidos por personas físicas bajo el control de aquéllas, y resulten beneficiadas por el delito cometido. 
Ahora bien, desde el 1 de julio de 2015, las empresas pueden quedar exoneradas de dicha responsabilidad, siempre que hayan implantado previamente un sistema de control interno destinado a prevenir o reducir el riesgo de comisión de dichos delitos, es decir, a gestionar el riesgo penal de la empresa. El sistema de control interno forma parte de un modelo general de gestión y organización empresarial, por tanto, las sinergias entre áreas y departamentos son indispensables. Y aquí es donde entra la cuestión de nuestro artículo: ¿cómo gestionamos dicho sistema de control interno dentro de un modelo general de organización y gestión empresarial? ¿Dónde ponemos las prioridades y los roles? ¿Qué requisitos mínimos debe tener el sistema de control interno? 
 
Como todo en la vida, lo importante no es el qué, sino el cómo. Pero para ello necesitamos referentes, guías, estándares. Es como aquél que quiere adelgazar, al final necesitará seguir una dieta determinada.
 
Con dicha finalidad nace el estándar UNE 19601, que es una norma certificable. Se trata de una guía, publicada el pasado 18 de mayo de 2017, por la Asociación Española de Normalización UNE. Dicha norma da pautas y requerimientos a seguir por las empresas para acreditar la debida diligencia y eficacia en la gestión de sistemas de control interno o de prevención de delitos. En definitiva, el objetivo último de la norma citada es que la empresa quede exonerada de responsabilidad penal, si logra demostrar la eficacia y buena praxis en la gestión del sistema de prevención de delitos, pese a haber sido cometido uno de ellos en su seno. La persona física responde del hecho delictivo, y la empresa quedará exonerada si demuestra haber observado una buena gestión de los riesgos penales, pese a que pudiera ser condenada la persona física.
 
Y de ahí la relevancia de la norma, convertirse en una herramienta a disposición de las empresas que se convierta en una herramienta de gestión más, como existen otros estándares de gestión en materia de riesgo medioambiental (14001), de seguridad de la información (27001) o sistemas de gestión de calidad (9001). El cumplimiento de los requisitos que establece la UNE 19601 permitirá poder acreditar la corrección en la gestión del riesgo penal, y en base a ello poder optar a presentar una defensa de su sistema de gestión de delitos con el objetivo que sea exonerada de responsabilidad penal.
 
La norma es larga y muy completa, proporcionando detalladamente las pautas a seguir por las organizaciones de manera a evitar la responsabilidad penal derivada de delitos cometidos en su seno por personas físicas bajo su supervisión. En este artículo, nos centraremos en esclarecer las ideas principales y más importantes que transmite la norma, de manera a elaborar un sistema de prevención de riesgos sólido.
 
En primer lugar, se debe saber que esta norma es aplicable a cualquier organización, tanto pública como privada, con independencia de su tipo, tamaño, actividad o sector, pues si bien al principio de la reforma sólo se hizo referencia a las entidades con personalidad jurídica, esta norma ha extendido el ámbito de aplicación a cualquier organización, incluyendo también a entidades carentes de personalidad jurídica. Además de esto, la implementación del sistema de gestión de compliance penal facilitado por esta norma, no sólo respeta las exigencias de la legalidad española, sino que también está dirigido a cumplir las expectativas que se depositan en organizaciones que operan en los mercados internacionales.
 
La norma se configura alrededor de siete grandes ejes de actuación que aquí comentaremos para entender el mensaje esencial de cada uno de ellos, de manera a proporcionar una visión global pero resumida de la norma.
 
El primer gran eje trata sobre el contexto de la organización. Este punto es esencial, pues para ser capaces de elaborar un sistema de gestión de compliance penal, es fundamental tener el conocimiento de todo lo que rodea a la organización y de qué manera puede afectarle o comprometerle frente al riesgo de comisión de un delito. Esto incluye, por lo tanto, no sólo los factores internos de la organización (tamaño, estructura, sector, miembros, etc.), sino también los externos (socios, relaciones con funcionarios públicos, contratos, obligaciones, etc.), pues la acción de elementos externos relacionados con la organización también puede comprometerla penalmente. Esta labor de contextualización permite entender las necesidades de la organización de manera que podamos determinar el alcance necesario del sistema de gestión de compliance y su aplicación.
 
El siguiente resorte versa sobre el liderazgo, y es probablemente de los más importantes de toda la norma. Se trata de predicar con el ejemplo, evitando planes de compliance meramente estéticos. El órgano de gobierno y la alta dirección, en resumidas cuentas, tienen funciones parecidas, con algunas diferencias en sus tareas, pero la esencia de su función es la de demostrar liderazgo y el más alto compromiso en relación con el sistema de gestión de compliance y la política de compliance.
 
Una organización no puede transmitir un mensaje de buen cumplimiento de esta norma, si sus líderes no son los primeros y los más implicados en implementarla en el seno de su organización. Deben asegurarse de que el órgano de compliance dispone de recursos suficientes para cumplir sus numerosas funciones y asegurarse de que está totalmente facultado para trabajar directamente con ellos, sin trabas en su comunicación. Deben impulsar y aprobar la política de compliance y establecer los roles y responsabilidades.
 
Una vez que se tiene claro el contexto y la organización está concienciada y lista para actuar, llega el momento de la planificación. Esto es, elaborar un plan de acción eficaz que permita al sistema de gestión de compliance combatir y prevenir los riesgos de la organización frente a la comisión de delitos en su seno. Este plan de acción pasa en un primer momento por la identificación y evaluación de todos los riesgos penales de la organización, para su siguiente estudio o valoración de manera a ser capaces de establecer unos objetivos claros de compliance penal.
 
Ahora que el núcleo está formado, se deben edificar las columnas que lo sostendrán, es decir, los elementos de apoyo del sistema de compliance. Esto pasa por el desarrollo de una cultura de compliance, la dotación de recursos necesarios a la implementación, la formación y concienciación en compliance de todos los miembros de la organización, asegurándose de que el mensaje es claro y preciso y no induce a posibles equivocaciones o interpretaciones erróneas, la comunicación y el mantenimiento de información documentada de todos los procedimientos.
 
El siguiente aspecto clave según la UNE 19601 es el control operacional, que no es más que la planificación e introducción de todos los controles internos necesarios para la identificación de incumplimientos o irregularidades del sistema de gestión de compliance de la organización.
 
Otro resorte del sistema de gestión de compliance penal es el de la evaluación del desempeño. Una vez está implementado nuestro sistema de compliance, con sus correspondientes controles, se debe asegurar de que éste funciona y que no se están pasando cosas por alto. Para evaluar el desempeño, se pueden adoptar muchas medidas, algunos ejemplos de estas son establecer métodos de recogida de información, fuentes de opinión sobre el desempeño, auditorías internas, informes y revisiones del órgano de compliance y, sobre todo, revisiones por parte de la alta dirección y el órgano del gobierno.
 
Por último y probablemente otro de los puntos más importantes de esta norma, es la mejora continua. Inspirado en los métodos de gestión y management japoneses derivados de la cultura Kaizen, o del famoso ciclo de Deming (PDCA), la mejora continua es un elemento clave del sistema de gestión de compliance. Pues este sistema de gestión no es un simple proceso que se adopta y se deja estar, es como un organismo vivo que crece, evoluciona y se adapta a unas condiciones cambiantes.
 
Como ya hemos visto a través de los ejes anteriores, para poder acreditar esta norma no basta el simple establecimiento del sistema de gestión de compliance, sino que éste debe ser implementado, evaluado, revisado y mejorado continuamente.
 
Para concluir, podemos decir que la UNE 196001 es una norma que proporciona todas las herramientas y pautas a seguir por una empresa para tener un sistema de gestión de compliance penal que funciona eficazmente y es sólido. Sin embargo, el proceso de establecer este sistema no debe ser tomado a la ligera, debe enfocarse como un proyecto de máxima prioridad que requiere una gran implicación y trabajo por parte de la organización en todos sus niveles, no sólo para su constitución, sino también para su posterior implementación, seguimiento, revisión y mejora continua. A pesar de ser muy exigentes los requisitos de la norma, estos deben ser ejecutados de manera proporcional y razonable a los recursos y tamaño de la organización, alineándose así la norma con el criterio de la Circular 1/2016 de la Fiscalía General del Estado, en la cual establece que los requisitos formales que establece el Código Penal, para gozar de la eximente de responsabilidad penal corporativa, deberán ajustarse y exigirse en proporción a la realidad de la organización.