Programa de Cumplimiento Corporativo. Estructura Básica.

27 Sep, 2021

Programa de Cumplimiento Corporativo. Estructura Básica.

   Entendemos por programa de cumplimiento  el conjunto organizado de pautas normativas, procedimientos y medidas de supervisión y control, aprobado por el órgano de gobierno de una persona jurídica para el fortalecimiento de sus principios y valores, la protección de su reputación y la defensa de la legalidad, cuya gestión es normalmente encomendada a un responsable, encargado de velar por su aplicación y eficacia.

 

    Un programa de cumplimiento normativo debe constar de la siguiente estructura mínima:

 

    1. Documento constitutivo.

 

    Todos los programas de cumplimiento normativo obedecen a un principio estructural común. Su núcleo central lo constituye un documento de carácter fundacional y valor normativo que, con independencia de la pluralidad de denominaciones utilizadas  contempla los siguientes contenidos:

 

a) Un catálogo de valores, principios y directrices orientativas que presiden la actividad de la organización.

 

b) Un conjunto de derechos y deberes que afectan, con distinta intensidad, a todos cuantos se relaciona con ella (empleados, directivos, socios de negocio, proveedores, grupos de interés...) y la obligación de aceptar expresamente sus contenidos.

 

c) Previsiones para el caso de apreciarse situaciones de conflicto de intereses.

 

d) El reconocimiento de una potestad disciplinaria de la organización para reaccionar frente al incumplimiento de sus contenidos.

 

e) La organización y la determinación de los responsables de cumplimiento en la empresa o en la compañía.

 

f) La creación de específicos canales de comunicación en materia de compliance.

 

g) La remisión a normas o procedimientos futuros que deben integrar la base normativa del programa de cumplimiento.

 

h) El procedimiento de revisión, actualización y modificación de sus contenidos.

 

 

    2. Documento descriptivo de la organización y su funcionamiento.

 

    Especialmente, en lo concerniente a la delimitación interna de responsabilidades y los procesos de adopción de decisiones. El Código Penal exige expresamente que los modelos de organización y gestión han de establecer los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquellos ( CP art.31 bis 5.3o ).

 

    Esto supone, en muchos casos, una tarea previa de formalización y, en otros, de adaptación de procedimientos ya existentes en la realidad de la organización, así como una definición de las diversas áreas de actividad (financiera, recursos humanos, producción, comercialización, etc.), la identificación de sus responsables y la trazabilidad de las principales decisiones. Dar a conocer quién y cómo se decide en los ámbitos de riesgo es el objetivo principal de este documento.

 

    3. Mapa de riesgos.

 

    En el que se identifican las distintas áreas de riesgo por incumplimiento de la legalidad, se calcula su probabilidad de comisión atribuyéndole un rango de relevancia en función de su potencial impacto sobre la organización.

 

    Habitualmente ese mapa de riesgos se elabora siguiendo un sistema de cálculo de probabilidad a partir de los resultados obtenidos de varias encuestas formuladas a directivos y empleados de la compañía. Sin embargo, bajo la apariencia de exactitud que ofrece el soporte matemático, las matrices presentan una base objetiva bastante endeleble, pues la muestra es muy limitada. Esto hace que sea necesario reforzar el alcance de esta evaluación con otras informaciones, habitualmente desechadas por las consultorías, pero que pueden ser sumamente útiles desde el punto de vista del jurista.

 

    Así, es recomendable elaborar un histórico de los litigios de la organización en los últimos 10 ó 15 años y comparar cuáles han sido las causas de conflicto más frecuentes o examinar sectorialmente la jurisprudencia de nuestros tribunales durante un determinado periodo (10 ó 15 años) y consagrar, por ejemplo, cuáles han sido las infracciones y delitos más cometidos en un determinado sector económico (p.e. telecomunicaciones, juego, servicios comerciales) y cotejar ese índice de incidencia con el histórico de la compañía. Fórmulas como la descrita otorgan un plus de consistencia al nuevo cálculo de probabilidad que se utiliza de modo habitual.

 

    4. Plan de prevención y respuesta.

 

    En él han de detallarse las distintas medidas que se deben adoptar para prevenir o reaccionar frente a cada uno de los riesgos de incumplimiento previamente identificados.

 

    5. Norma reguladora del encargado o encargados del cumplimiento.

 

    Se trata del típico reglamento interno o de organización, imprescindible cuando el responsable de cumplimiento es un órgano colegiado. Nada impide que esa función se encomiende a una única persona física perteneciente o ajena a la organización pero, en todo caso, siempre tendrán que regularse el acceso, las competencias, los procedimientos para su ejercicio, las responsabilidades y los cauces de comunicación de aquel con los demás órganos de la persona jurídica. Si bien todos las normas del programa de cumplimiento deben ser aprobadas por su responsableúltimo (el órgano de administración o gobierno), puesto que una de las principales características del encargado decumplimiento ha de ser su autonomía funcional respeto de la dirección ejecutiva de la empresa (no 355 ), parece conveniente que, como constatación de ese estatus de neutralidad en el interior de la organización, se le permita elaborar y modificar su propia norma de funcionamiento interno (máxime en el supuesto de tratarse de un órgano colegiado) aunque esta deba ser visada o contar con la aceptación del órgano de administración. El reconocimiento al encargado del cumplimiento de cierto grado de autonomía normativa es expresión de la independencia funcional que se le confiere y plasma la voluntad de no injerencia del órgano de gobierno de la persona jurídica.

 

    6. Canal de comunicación en materia de cumplimiento normativo.

 

    Se trata de un sistema de comunicación que permite a todas las personas vinculadas a la empresa (socios, directivos, trabajadores, en algunos casos proveedores y hasta clientes) presentar denuncias, y también sugerencias sobre  cumplimiento normativo ante el encargado o responsable de su gestión.

 

    Cada vez más, este conducto nacido para proteger al denunciante de buena fe, garantizarle cierto anonimato y asegurar su indemnidad ante cualquier represalia de la empresa, está adquiriendo nuevas funcionalidades prácticas, operando en muchos casos como un speak up system o línea permanente de comunicación y asesoramiento en este materia.

 

    Con todo, el canal de denuncias, canal ético o canal responsable que debe formar parte de todo programa de cumplimiento normativo, plantea algunas dificultades prácticas. Unas son de naturaleza operativa y otras de carácter estrictamente jurídico. En cuanto a las primeras, dos son las decisiones fundamentales que se han de adoptar:

 

   a) Si el canal responsable solo se utilizará para la tramitación de denuncias en materia de cumplimiento normativo o si también será utilizado como cauce para formular preguntas, despejar dudas o presentar sugerencias de reforma o mejoras al órgano de cumplimiento.

 

    b) Si se configura un canal responsable en sentido estricto, es decir, únicamente para personas pertenecientes a la organización, o, si por el contrario, se amplía su base subjetiva permitiendo que proveedores, partners, etc. También puedan presentar denuncias o quejas ante el órgano (unipersonal o colectivo) encargado del cumplimiento normativo.

 

    La opción amplia, de gestión mucho más compleja, exige en muchos casos establecer fórmulas de interlocución entre el canal responsable y otros canales de comunicación especializados existentes en la empresa (p.e. el de atención al cliente, al socio, etc.).

 

    Ahora bien, cuenta con la enorme ventaja de mostrar un espectro más rico de informaciones y, por tanto, de permitir evaluaciones más afinadas y políticas más completas de prevención de riesgos. Así, tras el descontento de varios clientes sobre determinado producto o servicio, puede estar advirtiéndose a la empresa sobre la existencia de comportamientos legalmente dudosos por algunos de sus empleados o por alguna empresa subcontratada. Recordemos que un programa de compliance también debe servir para proteger a la organización de las conductas indebidas de terceros con los que se relaciona en el ejercicio de su actividad.

 

    Las dificultades jurídicas dependen en buena medida de las opciones anteriores y de la decisión de la organización de externalizar o no el servicio. En efecto, es perfectamente posible que la organización asuma la gestión del programa de cumplimiento a través de sus propios medios pero que haya decidido contratar un servicio informático a través del cual un tercero gestiona el procedimiento y los flujos de información entre el denunciante y el órgano de cumplimiento. En este último caso es importante que en la contratación se tengan presentes todos los requisitos derivados de la legislación de protección de datos personales, pues el gestor externo solo actuará como encargado del tratamiento, siendo la persona jurídica la responsable del fichero.

 

    7. Normas, protocolos de actuación, directrices, instrucciones, acuerdos y políticas de Cumplimiento

 

    Todas ellas serán determinadas en función de la complejidad de la organización y la naturaleza de sus actividades.

 

    Dos recomendaciones son pertinentes en este punto:

 

    a) Establecer un principio de jerarquía interna para este conjunto de pautas autorregulatorias, de modo que se eviten equívocos a la hora de elegir entre disposiciones contradictorias.

 

  b) Cuando se pretenda que su contenido sea de obligada observancia, agruparlo bajo la denominación de «norma» o «instrucciones», puesto que en nuestro derecho expresiones como protocolos, políticas o directrices, se asemejan más a la idea de guía, orientación o recomendación que a la de un mandato jurídico vinculante de cuyo incumplimiento pueden derivarse importantes consecuencias jurídico-disciplinarias para el infractor. Debe existir una norma de inexcusable referencia, es decir, una regulación específica que fije tareas, derechos y obligaciones y, a partir de la misma, podrán desplegarse políticas de desarrollo y consolidación de sus contenidos. Esta previsión es especialmente importante en el derecho continental europeo y, particularmente, en el ámbito punitivo por imperativo del principio de legalidad en materia penal (Const art.25.1 ) que, aunque sea de forma inconsciente, se proyecta culturalmente en el jurista -juez o árbitro- y le lleva a pensar que para individualizar al responsable de los hechos es necesaria la existencia de una norma previa, clara y conocida que regule la conducta y advierta de las consecuencias de su incumplimiento. Un jurista europeo, por formación, difícilmente atribuirá esa capacidad de delimitación jurídica a unos textos que se denominen «directrices» o «políticas».

 

  

 

Última edición: Oct, 2021