La diligencia debida con los proveedores en el compliance penal

Por Dolores Sancha

Porqué deberíamos tener un compliance

Tras la entrada en vigor de la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal, la emisión de la circular 1/2016 de la Fiscalía General del Estado y la primera sentencia del Tribunal Supremo en materia de responsabilidad penal de la persona jurídica, la número 154/2016, de 29 de febrero, o las que siguieron; la número 221/2016, de 16 de marzo y la número 516/2016, de 13 de junio, la importancia de contar con un sistema de gestión de compliance penal es ya una cuestión indubitable.

El artículo 31 bis del Código Penal regula la responsabilidad penal de la persona jurídica y los casos en que ésta puede eximirse, mientras que el artículo 129 hace lo propio con las entidades no dotadas de personalidad. Para eximirse, la organización deberá probar cumplir los requisitos del artículo 31 bis, en pocas palabras, haber implementado una cultura de compliance, formando adecuadamente al personal de la empresa y haciendo un debido seguimiento de la misma

Una cultura de compliance que permita a la sociedad eximirse de responsabilidad debe identificar, analizar y valorar los riesgos penales tanto en el seno de la organización como en sus relaciones con proveedores y clientes.

Si un proveedor aprovecha una transacción con nuestra organización para cometer un delito nuestra organización puede verse involucrada en dicha actuación y por tanto ser responsable penalmente. Para eximirse de responsabilidades, la empresa deberá acreditar tener un sistema de gestión de compliance penal implementado y que cumpla los requisitos del artículo 31 bis.

Cuando un tercero con una cultura de compliance penal bien implementada quiera contratar con nuestra empresa, además de investigar nuestra solvencia técnica y económica, investigará o nos pedirá nuestro sistema de gestión de compliance penal y, de no tener uno, puede considerar que representamos un riesgo para su organización.

El compliance penal en nuestras relaciones con los proveedores en el estándar UNE 19601

La conocida como norma UNE 19601 (en adelante, la Norma) establece un marco de referencia completo para implementar sistemas de gestión de compliance penal alineados con las exigencias del Código Penal y estándares internacionales, pues incorpora prácticas reguladas en normas internacionales como la Norma UNE-ISO 19600, la Norma UNE-ISO 37001 o la Norma UNE-ISO 31000.

Como veníamos diciendo, los proveedores, o socios de negocio bajo la Norma (categoría amplia definida por exclusión que comprende a toda persona o entidad ajena a la organización con quien esta tiene o prevé tener una relación), son uno de los factores que la organización debe de analizar a la hora de entender sus necesidades y determinar el alcance del sistema de gestión de compliance penal.

En un primer momento, la organización deberá identificar qué riesgos representan esos proveedores, tanto en su vertiente “subjetiva”, esto son las circunstancias propias del proveedor, como por ejemplo el tipo de actividad a la que se dedica o la laxa regulación de su país – no representa el mismo riesgo contratar con una empresa radicada en la Unión Europea, que sabemos está sujeto a los controles de la normativa Española y Europea, que de un país extranjero cuya normativa desconocemos o es más indulgente – como en su vertiente “objetiva”, relativa a las características de la operación que queremos realizar.

Donde el análisis del riesgo de un riesgo superior a bajo, expresión fijada intencionadamente con carácter abierto por la Norma para poder ser adaptada por cada organización a su situación particular, la organización deberá entonces valorar la realización de un procedimiento de diligencia debida para valorar mejor el riesgo. A modo de ejemplo, la Norma recoge a modo ilustrativo algunos ejemplos de procedimientos de diligencia debida, v.gr.: envío de cuestionarios; búsqueda de información pública sobre el socio de negocio, sus accionistas y directivos; búsqueda del socio de negocio en listas de entidades sancionadas, entre otros. La profundidad del análisis dependerá en gran medida del grado de influencia que tenga la organización sobre el proveedor y, cuando la obtención de la información no sea posible, deberá de tenerse en cuenta como un riesgo.

Dependiendo del riesgo evaluado y de la naturaleza de la actividad desarrollada por la organización, esta deberá adoptar ciertos controles financieros y no financieros. Estos últimos son los que implantaría para evitar, detectar o gestionar los riesgos penales sobre las operaciones, las compras, la comercialización, los suministros, etc. Además, donde el riesgo evaluado arroje un resultado superior a bajo la Norma obliga a la organización a establecer cláusulas contractuales de compliance, siendo el nivel de detalle o exigencia de estas proporcional al riesgo valorado. La Norma establece como ejemplos de cláusulas contractuales, v.gr.: prohibir expresamente la comisión de delitos – tolerancia cero a los riesgos penales –, tanto de manera directa como a través de terceros, en relación con la actividad contratada; exigir la existencia de un sistema de gestión de compliance penal o equivalente a los efectos de dar eficacia al punto anterior o; contemplar el derecho de resolución de la relación contractual en caso de incumplimiento de lo indicado anteriormente o incumplimiento de lo establecido en el sistema de gestión de compliance penal.

De nuevo, dependiendo del grado de influencia que tenga nuestra organización sobre el proveedor será o no será posible incluir estas cláusulas en el contrato y si finalmente no es posible su inclusión, deberá de ser considerado como un factor en la evaluación del riesgo de esa contratación para determinar si llevar a cabo la transacción.

Finalmente, el sistema de gestión de compliance no estaría bien implementado sin el debido seguimiento, actualización, mejora y modificación del sistema cuando fuese necesario, según los criterios de la Norma y las necesidades particulares de la organización.