La auditoría del Compliance

La auditoría del Compliance

La implantación de protocolos de Compliance en las empresas españolas aun es bastante irregular. Las grandes empresas tienen en general buenos protocolos de Compliance, bastante ajustados a las exigencias normativas. Pero hay excepciones en dos sentidos, protocolos con carencias no superadas y protocolos desaprovechados.  

El protocolo desaprovechado es aquél que se ha quedado en lo estrictamente recomendable desde el punto de vista penal, pero que no ha aprovechado aun la sistemática y operativa de autocontrol para extenderlo a otros ámbitos normativos, incluso de carácter interno.

¿Qué pasa en las pymes?

Los protocolos con carencias no superadas son aquellos protocolos que se implantaron con rapidez en busca de una cobertura frente a posibles infracciones penales y que, una vez implantados han padecido el abandono de su mejora continua.

En medianas y pequeñas empresas falta aun mucho por implantar, y es mucho más generalizado, en aquellas que sí que lo implantaron, tanto el desaprovechamiento por falta de medios técnicos o humanos para hacerlo, como las carencias. Es más, en muchos casos nos hemos encontrado con protocolos meramente formales, absolutamente inactivos que confieren a los empresarios una engañosa creencia en estar a salvo de responsabilidades, cuando un protocolo inactivo, no revisado y no actualizado adolece de carencias que le hacen inútil para obtener la exención penal buscada.

¿Qué exige la norma?

Conviene recordar que el Artículo 31 bis, 5, 6.º del Código Penal exige, para que el protocolo de Compliance cumpla con los requerimientos suficientes para otorgar la exención de responsabilidad penal que se realice “…una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.”

A su vez, la Circular 1/2016 de la Fiscalía General, explicaba este requisito indicando que El sexto requisito del apartado 5 impone a la persona jurídica el deber de verificar periódicamente la eficacia del modelo. Aunque el texto no establece plazo ni procedimiento alguno de revisión, un adecuado modelo de organización debe contemplarlos expresamente. Además, el modelo deberá ser revisado inmediatamente si concurren determinadas circunstancias que puedan influir en el análisis de riesgo, que habrán de detallarse y que incluirán, además de las indicadas en este requisito, otras situaciones que alteren significativamente el perfil de riesgo de la persona jurídica (por ej., modificaciones en el Código Penal que afecten a la actividad de la corporación).

¿Cómo se debe hacer esta verificación periódica de la eficacia del modelo? 

Hay dos operativas que pueden asegurar una buena práctica, validable por los tribunales, que permitan el mantenimiento de la exención:

1.- Dedicar periódicamente una sesión del órgano de cumplimiento a la revisión del trabajo realizado, de la eficacia o no de los canales de denuncias, de los cambios operados en la empresa que puedan tener repercusión en el modelo, o de los cambios normativos que se hayan producido. Si esta sesión se realiza con algún asesor externo que pueda contrastar las mejores prácticas que se van incorporando en el mercado, aportará mayor valor que si la sesión se realiza en base únicamente a la información interna de la empresa. En SENEX CONSEJOS DE BUEN GOBIERNO S.L. mantenemos estas sesiones con las empresas a las que hemos desarrollado la implantación del Compliance. Su efectividad radica en la mejora continua, en la aportación de valor a la empresa.

2.- La realización, con la periodicidad que se considere adecuada a cada empresa (anual, bianual…) de una auditoría de Compliance. Esta auditoría es distinta de la auditoría contable, evidentemente. Las empresas que la pueden realizar serían todas aquellas que tengan experiencia en la implantación de modelos. Y desde luego es aconsejable que sea realizada por una empresa distinta de aquella que haya asesorado en el proceso de implantación del propio protocolo, y distinta de los abogados asesores de la empresa (internos o externos), pues así podrá aportar una visión ajena que sume nuevos valores. En este sentido, por ejemplo, La Liga de Futbol Profesional obliga a los clubs a realizar una auditoría anual, por una empresa tercera que no tenga vinculación con el club, e incluso obliga a que cada tres años se cambie de auditor de cumplimiento. En SENEX CONSEJOS DE BUEN GOBIERNO, además de revisiones de otros sistemas de Compliance que nos han encargado empresas con voluntad de superación, hemos realizado la auditoría a un Club de Primera División y la experiencia ha sido satisfactoria. La Liga ha implantado unas normas de obligada aplicación por todos los clubs que ayudan efectivamente al control de cumplimiento en los mismos. El objetivo de estas auditorías es siempre optimizar, reconocer lo que hay de valor e incorporar las mejores prácticas.

El Compliance no debe mirarse como un “seguro penal”, porque en ese momento es precisamente cuando se convierte en un mero gasto y, además, por la minusvaloración del instrumento, corre el riesgo de ni siquiera conferir la protección que se busca. El Compliance puede convertirse en una buena práctica de autoregulación, y de gestión de riesgos. Al principio riesgos normativos, pero con el tiempo, conforme se incorpora al ADN de la empresa la filosofía de autocontrol, puede pasar a convertirse en una magnífica herramienta de gestión y prevención de otros riesgos.

Ese es el objetivo que en SENEX CONSEJOS DE BUEN GOBIERNO S.L. procuramos conseguir cuando asesoramos a las empresas: mejorar su gobierno corporativo y convertir una “conveniente obligación” en una oportunidad de mejora en la gestión empresarial que reporte resultados a la empresa.

Rafael Carrau Criado
Rafael Carrau Criado
Director del Area de Gobernanza