Compliance

Diligencia debida en compliance penal (UNE 19601) Parte I

Tribuna Madrid

El término “diligencia debida” se utiliza en distintos contextos, con diferentes significados. En el ámbito de las fusiones y adquisiciones de empresas, por ejemplo, los procesos de Due Diligence buscan satisfacerse de la corrección de las manifestaciones e informaciones facilitadas por los responsables de la entidad a fusionar o adquirir, mediante el análisis de su información financiera, fiscal, legal, laboral, etc. Se trata, principalmente, de detectar riesgos o pasivos contingentes no desglosados por la contraparte y que pueden afectar al precio de la transacción o incluso condicionar el buen fin de la misma. En el ámbito del Compliance penal, la acepción más frecuente de dicho término se relaciona con obtener información y analizarla para determinar si una determinada relación entraña riesgo de comisión de un delito. Son procesos que se desarrollan con notable frecuencia, pues afectan a muchos sujetos y transacciones.  Para distinguirla de otros significados, en los foros de normalización internacional se planteó cambiarle el nombre, desestimándose finalmente tal iniciativa pues los profesionales dedicados al compliance conocen perfectamente su significado y no lo confunde con otros.

Miembros de la organización y socios de negocio

Si concebimos a la organización como una “caja”, sólo pueden desarrollar actividades que comporten su responsabilidad criminal aquellos sujetos que están “dentro” de ella (porque participan en su gestión, procesos internos y toma de decisiones), o los que estando “fuera” de la misma obran en su interés. Así pues, aplicando procesos de diligencia debida sobre unos y otros se cierra el círculo del control sobre quienes tienen la capacidad de dañar a la organización con su conducta. Para ello, la Norma UNE 19601 recurre a las definiciones de miembros de la organización y socios de negocio, que son conceptos organizativos, no jurídicos, con la finalidad de cubrir entre ambos a todo el elenco de personas cuya conducta tiene capacidad de afectar negativamente a la organización. En líneas generales, son miembros de la organización aquellos sujetos que están integrados en ella, con independencia de la naturaleza jurídica de su vínculo. La norma española evita recurrir a los conceptos de “empleados” (ISO 19600) o “personal” (ISO 37001) para poder dar así cabida a cualquier sujeto que participe en los procesos internos de la organización, provenga de una empresa de trabajo temporal, sea un implante, etc. Solemos asociar erróneamente este tipo de relaciones no laborales con perfiles de riesgo bajo, cuando pueden eventualmente participar en procesos de negocio que entrañen riesgo penal, como haría cualquier empleado en su posición. Además, determinados directivos y ejecutivos con amplia capacidad de adoptar decisiones pueden estar vinculados mercantilmente con la organización. Es el caso, por ejemplo, de equipos de gestión, contratados externamente ante situaciones especiales (crisis, procesos de fusión, etc). Por eso la Norma UNE 19601 evita limitar la prevención penal a las relaciones laborales. Por otra parte, la norma española cierra el círculo de la diligencia debida recurriendo al concepto de socio de negocio, que es todo aquel con quien la organización mantiene o se plantea mantener una relación de negocio y no es miembro de la misma. Conviene aclarar que “relación de negocio” incluye cualquier actividad a la que se dedique una organización, abarcando también las no remuneradas. Por lo tanto, todo sujeto que muestre vínculos con la organización será un miembro o un socio de negocio de ella, y se aplicarán procesos de diligencia debida en ambos casos. Esta aproximación es parecida a la del estándar ISO 37001 sobre sistemas de gestión anti-soborno, y similar también a la derivada de la Foreign Corrupt Practices Act (FCPA) norteamericana. Es distinta, sin embargo, de la empleada por la Bribery Act británica, que recurre al concepto único de “associated person” que incluye tanto a empleados como a determinados terceros.

Procesos de diligencia debida

Los procesos de diligencia debida son tan importantes para la Norma UNE 19601 que les dedica el Anexo B (informativo) Diligencia debida, muy interesante no sólo por incorporar ejemplos prácticos, sino también por la claridad con que distingue entre los procesos de diligencia debida de proyección interna (miembros de la organización) y externa (socios de negocio). Comentaré a continuación los primeros, dejando los segundos para la siguiente entrega de este artículo.

La Circular 1/2016 de la Fiscalía General del Estado ya apuntó que la mejor manera para prevenir las conductas ilícitas en el seno de la organización era la adecuada selección de directivos y empleados. En este mismo sentido, los procesos de diligencia debida sobre los miembros de la organización tratan de garantizar una adecuada selección, contratación y promoción de directivos y empleados, para satisfacerse de que disponen de competencias adecuadas para asumir los cometidos que se espera de ellos en materia de compliance penal. La Norma UNE 19601 distingue entre procesos generales de diligencia debida para todos los miembros de la organización, y otros procesos adicionales para las personas que ocupan posiciones especialmente expuestas. Este colectivo es el vinculado con actividades de riesgo superior a bajo, según resulte de la evaluación de riesgos penales que desarrolla periódicamente la organización. Vemos aquí uno de los muchos ejemplos de cómo la Norma UNE 19601 opera como un sistema de gestión y no como un programa lineal de compliance, pues sólo es posible aplicar correctamente los procesos de diligencia debida de proyección interna cuando la evaluación de riesgos penales ha concretado el colectivo de personas que ocupan posiciones especialmente expuestas. Esta clasificación no obedece necesariamente a categorías profesionales, sino que surge por motivo de su proximidad a algún riesgo penal superior a bajo, con independencia de rango.

Política de conpliance penal

El proceso general de diligencia debida para los miembros de la organización consiste, en esencia, en facilitarles la Política de compliance penal y exigir su cumplimiento, actuando frente a quienes incumplan ese mandato y no represaliando a quienes obren de buena fe (denunciando conductas inapropiadas, por ejemplo). A las personas que ocupan posiciones especialmente expuestas se añaden algunas cautelas adicionales. La primera es satisfacerse, antes de su contratación o promoción, de que su perfil es el adecuado para cumplir con los aspectos de compliance penal que le afectan. La segunda es revisar el esquema retributivo que les aplica, para asegurarse de que no incentiva comportamientos inadecuados (asunción de riesgos penales). Finalmente, estas personas deben formalizar una declaración de conformidad periódica respecto de la Política de compliance penal. Recordemos que el procedimiento general se limita a entregar dicho documento y exhortar a su cumplimiento.

El mencionado Anexo B (informativo) Diligencia debida de la Norma UNE 19601 recoge algunas sugerencias generales sobre cómo aplicar los procesos de diligencia debida, incluyendo contrastar cuidadosamente la información facilitada por el candidato durante el proceso de selección o promoción. Este anexo es también muy interesante porque contempla, como cautela general de diligencia debida, satisfacerse de que la contratación de una persona no obedece a la devolución de un favor, o pretende obtenerlo. Se trata, en el fondo, de evitar una modalidad poco trazable de soborno, que no supone flujos financieros y cuya relación causa-efecto es difícil de detectar excepto por personas próximas a la posición. Esta cautela proviene del estándar internacional ISO 37001 sobre sistemas de gestión anti-soborno, que lo heredó de su antecesor el estándar británico BS 10500 sobre anti-bribery management systems.

Evidentemente, los procesos de diligencia no sólo deben ejecutarse sino también documentarse, formando parte de la información documentada que representa el sistema de gestión.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación