Han pasado casi 10 años desde que se introdujo en nuestro ordenamiento jurídico la responsabilidad penal de las empresas y, actualmente, la mayor parte de las compañías españolas cuentan con medidas de prevención penal (bajo diferentes denominaciones; programas de compliance penal, sistemas de prevención de delitos, etc.). Como es sabido, este tipo de medidas deben ser diseñadas e implementadas de acuerdo con dos premisas fundamentales; el tipo de compañía (tamaño, recursos orgánicos, sector, etc.) y los riesgos a los que está expuesta la misma desde un prisma penal.
No obstante, las empresas se enfrentan cada día a multitud de riesgos (no solo de carácter penal) que clasifican, analizan y evalúan de forma distinta, aunque con el objetivo común de gestionar y mitigar tales riesgos. Una clasificación habitual distingue entre los riesgos estratégicos, financieros, operativos y de cumplimiento. En general, los riesgos están interconectados. Pensemos por ejemplo en un delito cometido por un empleado de una empresa en beneficio de ésta. Ello supondría un riesgo de cumplimiento (de carácter penal) que, lógicamente puede conllevar otros de diferente naturaleza, a saber:: financiera (posible sanción económica), operativa (posible sanción interdictiva, como el cierre de una planta de producción, la intervención judicial de la compañía o el cierre de locales), estratégica (la afectación económica o bien la disminución de la producción no permite lograr la facturación o el crecimiento fijado en el plan de negocio, o impide ciertas alianzas previstas con la administración pública o con otros stakeholders) y por último el temido riesgo reputacional.
Vamos a centrarnos en el riesgo de cumplimiento, entendido como el potencial daño derivado de la infracción de una norma.
Un sistema de gestión de riesgos de cumplimiento sólido no puede ser abordado únicamente desde una perspectiva penal. Si bien muchas compañías han partido de los conocidos como "Modelos de Cumplimiento Penal", resulta necesario gestionar el riesgo de cumplimiento con una visión integral y holística en la organización, analizando, en consecuencia, el potencial impacto que puede conllevar para la empresa la infracción de toda la normativa que le sea aplicable.
Vinculado con lo anterior, ya en el año 2004, la reforma de las directrices para la determinación individual de la pena de las personas jurídicas en los Estados Unidos ("Sentencing Guidelines for Organizations"), estableció que las empresas deben "promover una cultura organizativa que fomente la conducta ética y el compromiso con el cumplimiento del Derecho", además de ejercer la debida diligencia para prevenir y detectar conductas criminales.
Nuestro ordenamiento jurídico ha venido haciéndose eco de tal tendencia. Así, la Fiscalía General del Estado, en su Circular 1/2016, anima a las empresas a contar con sistemas internos para cumplir con la legalidad en general. El Tribunal Supremo, por su parte, en su Sentencia 154/2016, de 29 de febrero de 2016, analizando la conducta de la empresa enjuiciada, alude a la ausencia de cultura de respeto al Derecho, no limitándose, por tanto, únicamente al reproche penal, sino que se refiere al cumplimiento de la normativa en su conjunto.
En el mismo sentido se pronuncia el Tribunal Supremo en su Sentencia 316/2018, de 28 de junio, subrayando que no basta con gestionar los riesgos penales en los que puede incurrir una empresa perjudicando a un tercero, sino que es necesario identificar, analizar y gestionar los riesgos de cumplimiento que, aun no conllevando responsabilidad penal para la empresa, puedan ser constitutivos de un delito. Aunque en este caso el Alto Tribunal no se pronuncia explícitamente respecto del cumplimiento de la normativa en general, sí lo hace respecto de cualquier comportamiento delictivo, esto es, sin que las empresas deban ceñirse al conocido catálogo de delitos que generan responsabilidad penal para las compañías.
En efecto, en un primer momento las empresas comenzaron a analizar y gestionar los riesgos de cumplimiento de carácter penal, en línea con lo establecido en el artículo 31 bis del Código penal. La práctica mayoría de las empresas incluía ya en sus análisis iniciales también aquellos delitos generadores de consecuencias accesorias para las empresas, vía artículo 129 del Código penal. En un momento más maduro, aprovechando la tendencia jurisprudencial, así como las necesarias revisiones y actualizaciones de los análisis de riesgos, los responsables de cumplimiento y gestión de riesgos comenzaron a abordar también otros riesgos penales que si bien no generan responsabilidad penal para las empresas su materialización podría afectar gravemente a la misma (delitos societarios, falsedades, apropiaciones indebidas, etc.).
En los últimos años, muchas compañías de nuestro país han evolucionado desde un punto de vista de compliance y de governance y han analizado, en un sentido amplio, los riesgos de cumplimiento a los que están expuestas y han reforzado los mecanismos de prevención, detección y reacción ante eventuales comportamientos ilícitos que van más allá del ámbito penal.
Esta tendencia ha sido impulsada por dos factores clave. De un lado, por la aprobación de estándares internacionales que han definido una metodología de referencia que puede ser adaptada a cualquier tipo de organización y sector, tales como la ISO 37001 de Gestión Anticorrupción, la UNE 19602 de Gestión de Compliance Tributario, la ISO 19.600 de Gestión de Sistemas de Compliance, la futura ISO 37.003 sobre el Buen Gobierno en las Organizaciones y más recientemente los principios ESG. De otro lado, la existencia de sinergias, tanto en la identificación y evaluación de riesgos normativos, como en la implantación y monitorización de controles capaces de mitigar los mismos.
Así, la ampliación y la evolución de un sistema integrado con un alcance normativo global, lejos de suponer una distracción respecto de la prevención de riesgos penales, ha conducido a una mejora cualitativa en la gestión eficaz del riesgo de cumplimiento. En este sentido, en la medida en la que una empresa pueda evitar el incumplimiento de una norma de carácter laboral, medioambiental o administrativa, entre otras, difícilmente podrá verse inmersa en un escenario delictivo sobre determinadas materias y evitará, en todo caso, el temido e incalculable riesgo reputacional.
En definitiva, aunque en nuestro Derecho positivo no existe una definición de "cultura ética o de cumplimiento", y mucho menos puede considerarse, en nuestra opinión, como un elemento del tipo, resulta evidente que las compañías no pueden y no deben limitarse a prevenir conductas penales con el fin de evadir la pena de banquillo. En consecuencia, para evidenciar que una organización promueve, de forma real, la ética y el cumplimiento y si se pretende una prevención efectiva, ésta debe realizar una gestión integral de todos los riesgos de cumplimiento que potencialmente puedan afectarle. Tanto es así que, para que el sistema realmente funcione, debe configurarse de forma que exista una metodología coherente a la hora de evaluar los riesgos y una coordinación en la aplicación y monitorización de los controles aplicados, así como los elementos esenciales del sistema, como el canal de comunicación de irregularidades o el mecanismo de reporting a los órganos de gobierno u otros stakeholders. Solo así las decisiones podrán ser adoptadas de forma informada, considerando de forma global el riesgo de cumplimiento de una compañía.
A modo ejemplificativo, mientras identificamos un posible riesgo de infracción de la norma tributaria y los controles necesarios para prevenirlo (que pueden ser muy variados: desde una política fiscal hasta un sistema de alertas mediante KRI automatizados), estamos también un eventual riesgo de carácter penal –siempre que concurran las condiciones determinadas por el Código penal- y, del mismo modo, los controles existentes para gestionar el riesgo de cumplimiento en el ámbito fiscal pueden ser útiles a los efectos de prevenir un potencial delito fiscal.
Por lo tanto, desde nuestra perspectiva, creemos que la respuesta a nuestra pregunta es que no es suficiente con prevenir el riesgo penal si queremos prevenir los riesgos de cumplimiento y acreditar una cultura ética corporativa. Quien previene el incumplimiento normativo, previene el incumplimiento penal.
