Componentes del Modelo de Prevención y Control

Introducción

Existen Organismos internacionales como la Organización de Naciones Unidas – ONU, Grupo de Acción financiera Internacional – GAFI, entre otras, que están trabajando fuertemente a nivel mundial en la lucha contra operaciones criminales, como el lavado de dinero, financiamiento al terrorismo.

Esto ha implicado que los gobiernos de los países integrantes, para fortalecer dicha lucha, estén implementado dentro de sus sistemas jurídicos nuevas legislaciones para supervisar su cumplimiento y llevando a cabo intercambio de información atendiendo recomendaciones de dichos organismos.

En México, por ejemplo, el sistema financiero cuenta con una madurez importante en este sentido, y poco a poco se está fortaleciendo en los demás sectores sujetos obligados.

En el marco del combate al delito de lavado de dinero, el Estado ha impuesto al sistema financiero y a los sectores clasificados como actividades vulnerables, la obligación de reportar operaciones sospechosas. Estas tareas que en principio corresponden al Estado, se la ha desplazado a los particulares.

Antecedentes

Por ejemplo, dentro del marco legislativo de Chile, en la Ley 20393 prevención de delitos, la persona jurídica tiene un deber de cumplimiento de evitar que en el seno de ella se cometan toda clase de delitos.

La obligación de contar dentro del seno de las entidades, con mecanismos internos de prevención delictiva tiene su origen en diversas actualizaciones legislativas que fueron integradas en los últimos años al Sistema Penal Nacional.

Entre las más relevantes destaca que el 5 de marzo del 2014, al expedirse el Código Nacional de Procedimientos Penales, el Estado mexicano incorporó un nuevo procedimiento especial de responsabilidad penal para las personas jurídicas (artículo 421).

El 17 de junio del 2016, se publicaron reformas a este procedimiento y se incorporó al Código Penal Federal (el párrafo último del artículo 11 BIS) el listado de los delitos que pueden ser cometidos por las personas jurídicas, cuando incumplan con el debido control en su organización.

Las personas jurídicas serán penalmente responsables por los delitos cometidos:

  • En su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen.
  • Cuando se haya determinado que la comisión del delito ha sido facilitada por la inobservancia del debido control en su organización.

Estas reformas consolidan el deber empresarial de prevenir, detectar, mitigar y controlar los riesgos penales asociados a sus actividades cotidianas, mediante la adopción de modelos de organización y gestión que resulten eficaces en el desarrollo de su operación.

Contenido del modelo de prevención y control

El modelo de prevención y control debe contener una descripción de los elementos clave, tanto humanos como organizativos y documentales, que la empresa aplica para evitar que se produzcan infracciones de la ley y, en especial actos que puedan estar tipificados como delito en el Código Penal.

El objetivo prioritario es que todos los niveles de la empresa velen por la aplicación real y efectiva de las medidas de prevención y control previstas en el modelo, de manera que este sistema de autorregulación consiga la eliminación de comportamientos que puedan poner en riesgo la reputación en el mercado y los activos materiales e inmateriales de la empresa y de sus componentes.

Elementos Básicos del Modelo de Prevención y Control

Elementos Básicos del Modelo de Prevención y Control
Elementos Básicos del Modelo de Prevención y Control

Actualización del modelo prevención y control

El contenido del modelo deberá ser adaptado a las tendencias jurisprudenciales y a las modificaciones que sufra el Código Penal en relación con los requisitos de prevención y control que se exijan en materia de responsabilidad penal.

También deberá ser adaptado en los siguientes casos:

  1. Cuando se pongan de manifiesto infracciones relevantes de sus disposiciones.
  2. Cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada por la empresa.

Requisito de idoneidad del modelo prevención y control

Debe cumplir con el requisito para conseguir la exención de la responsabilidad penal de la persona jurídica, que ésta haya adoptado y ejecutado con eficacia un modelo de organización y gestión que incluya medidas de vigilancia y control idoneidad.

Ello significa que corresponde a la empresa demostrar que las medidas adoptadas son idóneas para prevenir y detectar la comisión de los delitos que se intentan prevenir.

  1. Adaptado a la tipología de delitos con mayor probabilidad de comisión en la empresa.
  2. Robusto, es decir, que no pueda ser sorteado o neutralizado fácilmente.
  3. Debidamente auditado.
  4. No copiado de otra empresa, ya que entonces no se adaptará a la actividad de la empresa.
  5. Apoyado en aplicaciones informáticas que controlen los procesos internos de negocio.
  6. Con capacidad preventiva que posibilite la detección de delitos.
  7. Mediante canales de denuncia que garanticen la confidencialidad y eliminen el riesgo de represalias.

Requisito de eficacia del modelo prevención y control

Debe cumplir con el requisito para conseguir la exención de la responsabilidad penal de la persona jurídica, que ésta haya adoptado y ejecutado con eficacia un modelo de organización y gestión que incluya medidas de vigilancia y control eficacia.

Ello significa que corresponde a la empresa demostrar que no se ha limitado a establecer un modelo teórico de prevención y control, y que éste ha sido aplicado realmente y ha sido efectivo en la prevención y detección de incumplimientos.

  1. No planteado como mero salvo conducto o seguro para conseguir la impunidad de la empresa.
  2. Orientado a la implantación de una verdadera cultura de cumplimiento en la empresa.
  3. No basado exclusivamente en certificaciones de empresas o asociaciones, ya que no acreditan la eficacia del programa.
  4. Apoyado de forma inequívoca por la alta dirección, ejemplificando una cultura de cumplimiento y sin tolerar el incumplimiento.
  5. Que exija altos estándares éticos en la contratación y promoción de directivos y empleados
  6. Se valorarán las actuaciones llevadas a cabo por la empresa tras la comisión del delito
  7. Será muy relevante la adopción de medidas disciplinarias y la inmediata revisión del programa.
  8. Se valorará de forma negativa el retraso en la denuncia, la ocultación del delito y la actitud no colaboradora con la justicia.

Falsas apariencias de control

Falsas apariencias de control

Estructura del modelo de prevención y control

Código ético

El código ético constituye el instrumento normativo de mayor nivel en la estructura normativa de la empresa. Contiene los principios éticos que la empresa aplica en todos los ámbitos de su actividad.

Representa el compromiso de la empresa con el cumplimiento de las leyes y de los valores éticos que en ellas se defienden.

El código ético debe contener un sistema disciplinario, o remitirse al del convenio colectivo, que será aplicable en el caso de que se produzca una infracción de los principios éticos contenidos en el mismo.

Estructura normativa

Estructura normativa.

Estructura de control

La delegación debe tener un alcance suficiente para la finalidad de acercar la actividad de control al lugar donde se encuentra el riesgo.

Debe comportar la cesión de deberes de vigilancia y control.

El resultado de la delegación debe ser la creación de un nuevo garante. No debe ser un mero instrumento para la creación de cortafuegos.

No debe incluir las funciones indelegables de la Ley General de Sociedades de Mercantiles.

Protocolo de toma de decisiones

Protocolo de toma de decisiones

Modelo de gestión de los recursos financieros

La organización debe disponer de controles en los procesos de gestión de sus recursos financieros que contribuyan a prevenir, detectar o gestionar riesgos penales de manera temprana.

Ejemplos de controles financieros:

  1. Política de segregación de funciones
  2. Niveles escalonados de autoridad para la gestión de los recursos financieros
  3. Circuito de aprobaciones necesarias para la gestión de los recursos financieros
  4. Firmas mancomunadas
  5. Documentación de justificación de los pagos
  6. Restricción del uso de efectivo
  7. Sistemas de control de riesgos en el proceso de emisión de información financiera
  8. Revisiones periódicas y auditorías financieras

La organización debe implementar aquellos controles no financieros que resulten adecuados para impedir la comisión de delitos en el seno de su actividad.

Ejemplos de controles financieros:

  1. Control sobre las compras
  2. Control sobre las operaciones
  3. Control sobre la comercialización
  4. Control sobre otros procesos

Canal ético

El Canal Ético es una herramienta de comunicación que permite la prevención, detección, investigación y resolución de cualquier situación de incumplimiento de la ley, el Código Ético o las normas internas mediante la comunicación, por parte de los trabajadores, de situaciones de riesgo o de incumplimiento.

Al ubicar este elemento en el contexto del modelo de prevención y control se aprecia su sentido y la importancia de su aceptación y uso por parte de los trabajadores para la obtención del máximo rendimiento del sistema en su conjunto.

De acuerdo con las estadísticas, el canal ético es el medio más habitual para conocer una situación de incumplimiento en la empresa.

Cultura de cumplimiento

El desarrollo de una cultura de compliance exige que el órgano de gobierno y la alta dirección tengan un compromiso visible, consistente y sostenido en el tiempo con un estándar común y publicado de comportamiento que se requiera en todas y cada una de las áreas de la organización, así́ como a sus socios de negocio.

Sistema disciplinario

Los modelos de organización y gestión exigidos para conseguir la exención de la responsabilidad penal corporativa establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Las ventajas de la coordinación del sistema disciplinario con RRHH son las siguientes:

  • Respeto de las competencias de RRHH.
  • Eliminación de conflictos de competencias.
  • Aprovechamiento de la experiencia de RRHH en materia de sanciones.
  • Mayor conocimiento de la cultura de la empresa en materia de sanciones.
  • Mejor gestión de situaciones de rechazo de las sanciones.

Una de las pruebas de la eficacia será la sanción, ya que demuestra que:

  • El modelo detecta las infracciones.
  • No hay tolerancia.
  • No hay compliance cosmético.
  • La empresa aplica el sistema disciplinario.

Mapa de riesgos y de controles

El modelo de prevención y control debe ser diseñado a partir de los riesgos que se detecten en la empresa. La identificación de estos riesgos es el punto de partida para la articulación de un sistema de gestión que permita lograr la prevención y el control de riesgos deseados.

Tras la identificación de los riesgos que afectan a la actividad habitual de la empresa, es necesario valorar la probabilidad y el impacto en el negocio.

Para ello será necesaria la colaboración rigurosa de profesionales en las disciplinas de estudio afectadas con el fin de elaborar, de la manera más exacta posible, un mapa de riesgos que permita, de un simple vistazo, comprender la situación de la empresa y saber cuáles son aquellos aspectos en los que ésta necesita realizar cambios y su nivel de urgencia.

Repositorio de evidencias

La exención de responsabilidad de la persona jurídica se da en caso de que se hayan adoptado y ejecutado, de forma eficaz, modelos de organización y control que incorporen las medidas de vigilancia y control idóneas antes de la comisión del delito.

De la anterior declaración se deduce la necesidad de acreditar que las medidas de control fueron aplicadas con anterioridad a la comisión del delito o incumplimiento y de forma eficaz.

Para ello, la empresa deberá elaborar un defense file o archivo en el que se conservarán de manera sistemática las pruebas de cumplimiento generadas.

Puntos importantes a tener en cuenta en relación al sellado de tiempo de las evidencias:

  • El sellado de tiempo permite acreditar la fecha en la que se obtuvo la evidencia.
  • Es muy útil en el caso de impugnación de la prueba.
  • Pensemos que la carga de la prueba de la eficacia del control corresponde a la empresa.
  • El nivel de impugnación de pruebas en sede penal es superior al de otras jurisdicciones.

La función hash permite asegurar que la evidencia no ha sido alterada desde la fecha en que se creó.

Programa de formación y sensibilización

La formación y sensibilización de los trabajadores para el fomento de comportamientos éticos y la prevención de la comisión de delitos es considerada una prueba de la diligencia y el esfuerzo realizado por la empresa en materia de prevención y control.

Para lograr la exención de responsabilidad, la empresa ha de ser capaz de acreditar que la actividad de prevención y control se realizó con anterioridad a la fecha de comisión del delito. En este sentido, el sellado de tiempo (time stamping) permite a la empresa ofrecer una mayor credibilidad en relación con la fecha de impartición de las actividades formativas correspondientes y a sus resultados.

La creación de una cultura de cumplimiento en la empresa, y la formación es un elemento fundamental para la consecución de este objetivo.

Verificación periódica

El seguimiento del compliance penal es el proceso consistente en recoger información con el objetivo de evaluar la eficacia del SGCP y, por lo tanto, el desempeño en materia de compliance penal de la organización.

Elementos que se evalúan durante el seguimiento del SGCP:

  • Eficacia de la formación
  • Eficacia de los controles
  • Eficacia de la asignación de responsabilidades
  • Actualización de las obligaciones de compliance penal
  • Eficacia de la gestión de deficiencias

Conclusión

Existe una tendencia mundial donde los sistemas de cumplimiento van tomando fuerza dentro de las entidades, esto muestra que la autorregulación en materia de combate al crimen desde el interior de las empresas marca una nueva pauta de hacer negocios.

Los sistemas de cumplimiento cuentan con una responsabilidad importante de prevención, siendo su objetivo principal el identificar y minimizar los riesgos, debe contar con autonomía financiera y funcional para lograr controlar actividades de cumplimiento.

El sistema de cumplimiento es el nuevo escudo que blinda de riesgos inherentes a las actividades propias de la empresa, para afrontar y proteger la integridad legal de negociaciones ilícitas y relaciones no deseadas.

Fuentes de Consulta:
Estándares UNE 19601:2017 Sistemas de Gestión de Compliance Penal Curso Compliance Officer Aranza Formación Thomson and Reuter

Instituto Oficiales de Cumplimiento – IOC (España). Comité Directivo del IOC. Marco para la práctica profesional del cumplimiento. Disponible en: https://www.iocumplimiento.org/wp content/uploads/2019/07/Marco-para-la-Practica-Profesional-del-Cumplimiento-v1.pdf
Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *