www.controlcapital.net

Ideas sobre la responsabilidad del compliance officer en España

viernes 17 de junio de 2016, 06:01h
Ideas sobre la responsabilidad del compliance officer en España

Por Nestor Aparicio, Director de Compliance en Garrido Abogados

Desde la regulación actual hacia la vicarius liability

Reseña profesional del autor - Abogado, miembro de la junta de gobierno del Ilustre Colegio de Abogados de Ciudad Real, profesor del máster de la Universidad de Castilla La-Mancha, especialista en áreas penal-económico y compliance. Escritor jurídico E-mail nestor.aparicio@garrido.es

Ideas sobre la responsabilidad del compliance officer en España

Aunque no me atrevo a meterme en la cabeza del legislador, la lectura del art. 31 bis del Código Penal parece establecer un sistema parecido al italiano, al imputar al “órgano de administración” la obligación de adoptar un sistema de compliance y al compliance officer la de supervisar su eficacia (cfr. 31 bis 2, 1ª y 2ª del Código Penal). En efecto, parece que en el plano teórico se establecen dos órganos con funciones y responsabilidades limitadas y delimitadas, puesto que solo el órgano de administración (business owner, en definitiva) tiene la obligación de ordenar lo necesario para disponer de un compliance program, de adoptarlo y ejecutarlo con eficacia, como consecuencia de ese tone from the topque predicamos. Adoptarlo, en un primer momento, o no adoptarlo, podría significar a la postre la comisión por omisión de un delito por el órgano de administración en el caso de que el ilícito suceda, precisamente por sugerir el defecto organizativo doloso que ahora ha establecido el Tribunal Supremo (cfr.Sentencia de 29 de febrero de 2016). Pero es que además el legislador hace responsables a los administradores –como no podía ser de otra manera– de la eficacia del compliance program al concretar la obligación de ejecutarlo con eficacia.

La doctrina establece que esa ejecución prevé, en el plano práctico y entre otras cosas, el nombramiento de un compliance officer que supervise el modelo, la dotación presupuestaria para cumplir con esa función y la investidura de poderes autónomos de iniciativa y control (conceptos que traerán cola). En definitiva, los administradores son vistos como los dueños y señores de la función de compliance, sin perjuicio de que el área de compliance lo ocupe el responsable de cumplimiento (estos dos conceptos también son importantes).

Por su parte, el compliance officer (CCO) es un empleado (o un grupo de), no es el dueño de negocio, y según el legislador tiene funciones de supervisión y poderes autónomos de iniciativa y control, tratando de equipararlo de alguna forma a la Comisión de Auditoría de la Ley de Sociedades de Capital. Que el compliance officer sea un órgano autónomo con ciertos poderes no le sitúa, a mi juicio, como propietario del riesgo ni de su obligación de evitarlo. Autonomía no significa, en este sentido, que el compliance officer ocupe el lugar del administrador, por lo que su responsabilidad no puede, en modo alguno, ser la misma. Como oí el otro día a un verdadero maestro, no es lo mismo autonomía que independencia (como no es lo mismo una Cataluña autónoma que una Cataluña independiente, terminaba explicando), así que en ningún modo el compliance officer es uno de los personajes de la cúspide de la empresa, como pertinazmente insiste la Fiscalía General del Estado en su Circular 1/2016. Me gusta acudir a la figura de que el compliance officer es el portero de un equipo de fútbol, que avisa de las fallos en la marca, de los posibles pases o de las arremetidas del contrario precisamente por su especial visión desde el fondo del campo, pero tiene una responsabilidad muy limitada cuando el balón acaba en el fondo de su red.

Llegados a este punto y explicado el marco, me interesa hablar del concepto de responsabilidad, para colocar a cada uno en su sitio (compliance officer vs. administradores) en el juego de obligaciones del cumplimiento normativo. En el habla cotidiana, otorgamos a la “responsabilidad” un significado tan amplio que sirve para “hacer responsable al dueño del ganado de su alimentación”, al “entrenador del fracaso de su equipo” o a la “lluvia de las últimas inundaciones” de forma que “responsabilidad” se usa por igual en el derecho sancionador administrativo o penal, en la culpa civil objetiva y en la subjetiva. Parece evidente que el compliance officer –como responsable de la supervisión– tiene responsabilidad en cuanto al funcionamiento, pero de qué tipo. Sin ser un convencido de Hart, acudo a su definición sobre la responsabilidad, puesto que querría otorgar al compliance officer la llamada role-responsability, al asumir delegadamente unas obligaciones que pertenecen por derecho propio al órgano de administración (la eficacia del programa de cumplimiento, solo desde el punto de vista de la supervisión), al que además le afecta la llamada liability-reponsability, es decir, la responsabilidad como sancionabilidad, como imputabilidad jurídica propiamente dicha.

Así, desde el punto de vista teórico-dogmático-filosófico, el compliance officer solo sería responsable si es el autor material del delito, lo que debería completarse necesariamente con algunas ideas prácticas sobre la responsabilidad del CCO. Ya adelanto que no pretendo ser exhaustivo, sino apuntar algunas cuestiones que favorezcan el debate.

Antes de la entrada en vigor de la L.O. 1/2015, de 30 de marzo que reformó por vigésimo-no-sé-cuánta vez el Código Penal la sangre ya había llegado al río y los dogmáticos habían comenzado a hablar de las hipotéticas responsabilidades de ese “órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica” (art. 31 bis, 2, 2ª CP) al que llamamos compliance officer con permiso de la tradición anglosajona y la europea referida a entidades financieras.

Lo primero que llama la atención es que el legislador ha parecido otorgar una doble vía para naturalizar al CCO: puede ser un órgano similar a la comisión de auditoría interna, con poderes autónomos de iniciativa y control o (atentos a la conjunción disyuntiva) un órgano supervisor del modelo de compliance. Poco, dicho sea de paso, he leído al respecto, porque además el legislador vuelve a arrojar una definición de ese CCO al calificarle como el “encargado de vigilar el funcionamiento y observancia del modelo de prevención” (art. 31 bis, 5, 4º).

Ante la duda, me inclino a recomendar y diseñar un CCO asesor, supervisor y vigilante, con cierta autonomía y siempre dentro de la persona jurídica, sin perjuicio de la externalización de algunos servicios, porque –no lo olvidemos– el CCO no puede ser el omnisciente conocedor de todos los mecanismos legales y operativos de la empresa. Volveré a esto después, pero antes quiero decir que, sea como fuere, el CCO es en definitiva un empleado de la empresa que despliega su trabajo para evitar lo que Schünemann podría llamar la criminalidad desde la empresa y la criminalidad en la empresa, por lo que difícilmente puede ser responsable del delito (excepto que él mismo sea el delito).

Haciendo una análisis del art. 31 bis, 1 b) (“han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso”) la circular de la FGE consideró que podría imputarse cierta responsabilidad al CCO por haber incumplido su deber de vigilancia al considerarlo como una de las personas del vértice de la empresa (aquellas que ostentan facultades de organización y control); cuestión que resulta ciertamente aterradora porque, llevado al extremo, podría aplicársele el principio de equivalencia de los delitos especiales (y, entonces, apaga y vámonos).

Veamos, el diseño de un sistema de compliance deberá necesariamente concretar las competencias y funciones del CCO y su establecimiento en el organigrama corporativo (mediante acuerdo del órgano de administración) de forma que jamás pueda tener lo que Roxin llamaba el dominio del hecho: si no es dueño del riesgo, difícilmente puede ser responsable penal del incumplimiento (mucho podríamos hablar aquí de las tres líneas de defensa, pero no lo haré porque ya estoy abusando de su paciencia).

Se me ocurren dos excepciones: que el CCO conozca el delito y mire para otro lado o lo encubra o, en segundo lugar, que pueda serle imputada una comisión por omisión (art. 11). Respecto de la primera de las cuestiones, no se me ocurre solución: si el director financiero cuela facturas falsas y el CCO dolosamente no hace nada por evitarlo (aun teniendo conocimiento del hecho) termina por ser cómplice. La segunda me sugiere alguna duda más, porque con la comisión por omisión responsabilizamos a alguien de un hecho que podría haber evitado en ejercicio de sus propias competencias (al estar en posición de garante). Y es que el CCO es el vigilante de la buena ciudadanía corporativa, así que podría ser garante. Acudiendo a la doctrina penal tradicional, la posición de garante requiere que el sujeto esté encargado de la protección o custodia del bien jurídico protegido o amenazado. Así las cosas, si esa es la posición del CCO, alguien con esa función en, por ejemplo, una empresa constructora tiene que ser un fiscalista consumado (para vigilar los posibles incumplimientos del departamento financiero), un experto conocedor de la totalidad de la legislación y las obligaciones derivadas del urbanismo y la construcción (que vigile y garantice el cumplimiento de la legalidad constructiva), un laboralista, un experto en IT, tener conocimientos altos de recursos humanos y, obviamente, conocer los componentes de todos los elementos constructivos con el fin de evitar cualquier riesgo, puesto que como garante vendría obligado a ello. Es ridículo.

El CCO no es [no debe ser] dueño de los procesos sino vigilante de los controles (se cumple, no se cumple) sin involucrarse en la toma de decisiones. El CCO debe vigilar y supervisar la idoneidad de las políticas impuestas por el órgano de administración y los controles para que se cumplan las políticas (de ahí la importancia de las métricas) y solo si incumple dolosamente (porque no son de aplicación tampoco las formas omisivas impropias penales) esa obligación, puede ser responsable penal. En definitiva, el CCO solo debe hacer su trabajo, no el de los administradores, ni el de recursos humanos, ni el de las unidades operativas. Por eso me parece bien que el CCO vise y supervise determinadas decisiones, pero no que tome parte de ellas, porque entonces se hace dueño del riesgo.

Termino ya con una breve reflexión, puesto que sospecho que la teoría penal corporativa terminará por modificar la figura del CCO para asimilarla a la vicarious liability anglosajona, de forma que se castigue de una vez y de forma correcta la omisión del deber de vigilancia por parte del CCO. Pero esa es otra historia así que, hasta entonces, podemos dormir tranquilos.

NOTICIAS RELACIONADAS

¿Te ha parecido interesante esta noticia?    Si (9)    No(0)
Compartir en Google Bookmarks Compartir en Meneame enviar a reddit compartir en Tuenti


Normas de uso

Esta es la opinión de los internautas, no de Control Capital

No está permitido verter comentarios contrarios a la ley o injuriantes.

La dirección de email solicitada en ningún caso será utilizada con fines comerciales.

Tu dirección de email no será publicada.

Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.