Muchos han sido los esfuerzos por implementar los modelos de cumplimiento, y por desarrollar culturas de Corporate Compliance en el seno de las empresas, y demás personas jurídicas, y probablemente ha llegado la hora de empezar a evaluar en España, si los modelos desarrollados son realmente reales, eficaces y eficientes, y responden a los cometidos de prevención establecidos legalmente al efecto.
Para ello, constituye un documento de mucha ayuda y de una singular importancia la Guía elaborada por la División criminal del Departamento de Justicia de los Estados Unidos, en la que se pretende dar instrucciones al Ministerio Fiscal, sobre el modo de proceder, a los efectos de la correcta evaluación y valoración de los modelos de cumplimiento de los diversos tipos de corporaciones y empresas.
Y por ello, puede ser sumamente útil trasladar las consideraciones y los pronunciamientos contenidos en dicha Guía al modelo español de Corporate Compliance, a los fines de poder también evaluar dichos programas de cumplimiento, y poder verificar si los mismos constituyen solamente declaraciones formales, o por el contrario, responden de manera adecuada a las finales previstas en el artículo 31 bis del Código Penal y demás disposiciones concordantes sobre la responsabilidad penal de las personas jurídicas.
De acuerdo con los mismos, en primer término, se determina que cualquier modelo de cumplimiento, debe dar cumplimiento y reunir una serie de factores que incluyan de manera principal la idoneidad y la eficacia de dicho modelo, tanto en el momento en el que se produzca cualquier clase de infracción, como cuando se adopte la decisión resolutoria correspondiente derivada del oportuno procedimiento penal y/o administrativo seguido al efecto.
Del mismo modo, se hace necesario poder tasar el valor de los esfuerzos correctivos llevados a cabo por cualquier corporación para implementar un programa de cumplimiento corporativo, que sea adecuado y efectivo para prevenir efectivamente la comisión de delitos, o para mejorar un modelo ya existente.
A la hora de evaluar un modelo de Corporate Compliance, cabe formular inicialmente tres cuestiones básicas, a las que se debe dar una adecuada respuesta, y que son las que se indican a continuación:
a). ¿Está bien diseñado el programa de cumplimiento de la persona jurídica?
b). ¿Se está aplicando el programa con seriedad y de buena fe?
En otras palabras, ¿Se está implementando el programa de manera efectiva?
c). ¿El programa de cumplimiento de la corporación funciona efectivamente en la práctica?
Los factores críticos en la evaluación de cualquier programa son, si el programa está diseñado adecuadamente para lograr la máxima efectividad en la prevención y detección de irregularidades por parte de los empleados y si la administración o los responsables de la persona jurídica están haciendo cumplir el programa, o, a contrario sensu, están alentando o presionando expresa o tácitamente a los empleados para que participen en una conducta indebida.
En este sentido, es procedente examinar la exhaustividad del programa de cumplimiento, asegurando que no sólo haya un mensaje claro en el sentido de que no se tolera la conducta ilegal, sino también las políticas y los procedimientos - desde las asignaciones apropiadas de responsabilidad hasta los programas de capacitación, a los sistemas de incentivos y disciplina, que aseguran que el programa de cumplimiento esté bien integrado en las operaciones, y la fuerza laboral de la compañía.
El punto de partida para la evaluación sobre si una empresa tiene un programa de cumplimiento bien diseñado es comprender inicialmente el alcance y el contenido del negocio de la empresa desde una perspectiva comercial, y en este sentido, cómo la empresa ha identificado, evaluado y definido su perfil de riesgo y el grado en que el programa ha valorado la necesaria asignación de recursos económico, humanos y materiales, al espectro de riesgos detectados.
Asimismo, se debe considerar si el programa está apropiadamente diseñado para detectar los tipos particulares de conducta ilegal que probablemente ocurran en la línea de negocios de una organización o empresa en particular, y el entorno regulatorio complejo al cual está sometido tanto con carácter general, como a consecuencia de su ámbito específico de actividad, sea del tipo que sea.
También, es importante tomar en consideración la efectividad de la evaluación de riesgos de la empresa y la manera en que el programa de cumplimiento de la organización se ha adaptado al mismo, sobre la base de esa evaluación de riesgos y, al mismo tiempo, si se ha procedido a actualizar sus criterios de manera periódica.
Para ello, se puede acreditar la calidad y la eficacia de un programa de cumplimiento basado en la atención que dedica al riesgo y a los recursos adecuados a las transacciones de alto riesgo, incluso si no evita una infracción mediante la creación de manera específica de un área que controle el desenvolvimiento de los indicados riesgos.
Al hilo de estas consideraciones se debe tener presente como un indicador de la adaptación del riesgo, las revisiones a los programas de cumplimiento corporativo a la luz de las experiencias que la organización haya tenido.
Con relación, por tanto, a los procesos de gestión de riesgos, y como métrica de estas, cabe preguntarse y dar respuesta a tal efecto, a las siguientes cuestiones:
a). ¿Qué metodología ha utilizado la empresa para identificar, analizar y abordar los riesgos particulares que enfrenta?
b). ¿Qué información o métricas ha recopilado y usado la compañía para ayudar a detectar el tipo de conducta indebida en cuestión?
c). ¿Cómo han informado la información o las métricas al programa de cumplimiento de la compañía?
En lo que atañe a la asignación de recursos adaptada a los riesgos, las cuestiones que deben ser respondidas por toda organización o corporación son las que se indican seguidamente:
a). ¿La empresa dedica una cantidad desproporcionada de tiempo para vigilar las áreas de bajo riesgo en lugar de las áreas de alto riesgo, como pagos cuestionables a terceros consultores, actividades comerciales sospechosas o descuentos excesivos para revendedores y distribuidores?
b). ¿La compañía otorga un mayor valor, según se justifique, a las transacciones de alto riesgo, que la hospitalidad y el entretenimiento más modestos y de rutina?
En lo concerniente a las llamadas actualizaciones y revisiones del modelo de cumplimiento, las cuestiones a tener presente con relación a la eficacia de este son, a su vez, las siguientes:
a). ¿Está actualizada la evaluación de riesgos y está sujeta a revisiones periódicas?
b). ¿Se han actualizado las políticas y los procedimientos a la luz de las lecciones aprendidas?
c). ¿Estas actualizaciones tienen en cuenta los riesgos descubiertos por conducta ilegal u otros problemas con el programa de cumplimiento?
En lo referente a las políticas y procedimientos que debe conllevar el desarrollo de cualquier modelo de cumplimiento, debe partirse del hecho consistente en que cualquier programa de Corporate Compliance bien diseñado, implica políticas y procedimientos que den contenido y efecto a las normas éticas que la empresa haya asumido como tales a través de su código de conducta u otras normas de semejante alcance, y que, al mismo tiempo, aborden y apunten a reducir los riesgos identificados por la organización, como parte de su proceso de evaluación de riesgos.
Por ello, debe examinarse si la compañía tiene un código de conducta que establezca, entre otras cosas, el compromiso de la compañía de cumplir plenamente con las leyes y demás normativa general o sectorial pertinentes, que el mismo sea accesible y aplicable a todos los empleados de la empresa, y si la compañía ha establecido políticas y procedimientos que incorporen y fomenten la cultura de cumplimiento en sus operaciones diarias.
En lo referente a estas políticas y procedimientos, debe prestarse una especial atención al diseño de estas, y para ello, cabe formularse las siguientes preguntas al respecto:
a). ¿Cuál es el proceso de la empresa para diseñar e implementar nuevas políticas y procedimientos, y si ese proceso ha cambiado con el tiempo?
b). ¿Quién ha estado involucrado en el diseño de políticas y procedimientos?
c). ¿Se han consultado las unidades de negocio antes de lanzarlas?
Del mismo modo, han de valorarse y evaluarse la exhaustividad con respecto a las mismas.
En este sentido, la cuestión que debe ser respondida, hace referencia a los esfuerzos que ha realizado la compañía para monitorear e implementar políticas y procedimientos que reflejen y se ocupen del espectro de riesgos que enfrenta, incluidos los cambios en el panorama legal y normativo, o cualquier otra circunstancia relevante que por su trascendencia aconsejen la modificación del contenido de dicho modelo.
La accesibilidad de dichas políticas y procedimientos a los empleados o/y a terceros constituyen otro factor, al que debe prestarse una especial importancia.
Como consecuencia de ello, cabe preguntarse con relación a la misma, y a efectos de su debido control, las siguientes reflexiones:
a). ¿Cómo ha comunicado la compañía sus políticas y procedimientos a todos los empleados y terceros relevantes?
b). Y si la empresa tiene filiales extranjeras, si ¿existen barreras lingüísticas o de otro tipo para el acceso de los empleados extranjeros?
Siguiendo con este análisis en la evaluación de la eficacia y la eficiencia de este modelo de cumplimiento, cabe examinar todo lo atinente a la responsabilidad de la integración operativa, por el que deben evaluarse los siguientes extremos:
a). ¿Quién ha sido responsable de la integración de políticas y procedimientos?
b). ¿Se han implementado de una manera que garantice la comprensión de las políticas por parte de los empleados?
c). ¿De qué maneras específicas se refuerzan las políticas y procedimientos de cumplimiento a través de los sistemas de control interno de la empresa?
Y finalmente, en lo que respecta a las personas encargadas de supervisar y controlar el modelo de cumplimiento, la valoración del modelo de cumplimiento conduce a tener presente algunos condicionamientos, que van a determinar el alcance y la eficacia de la función desarrollada, y que se corresponden con los siguientes patrones de actuación:
a). ¿Qué orientación y capacitación se ha brindado a las personas que desarrollan de manera clave los procesos de control?
b). ¿Tienen suficiente conocimiento con relación a la conducta ilegal que buscar y analizar?
c). ¿Saben cuándo y cómo actuar a los fines del desarrollo de una investigación, en el caso de que tengan conocimiento de hechos o actuaciones irregulares?
Las respuestas a las cuestiones expuestas, nos proporcionan una visión de conjunto sobre la realidad, la eficacia y la eficiencia del modelo de cumplimiento en que esté siendo de aplicación, a los efectos de que el mismo responda de manera real a las finalidades de prevención para la que fue implantado, o al menos, nos evidencie la necesidad de proceder a establecer en el seno del mismo, aquellas correcciones o modificaciones del modelo de cumplimiento implantado, que se juzguen como necesarias, y que garanticen su correcto funcionamiento.