ComplianceKeys#33: Errors més freqüents a l’hora d’implantar un Sistema de Compliance
La implantació d’un Sistema de Compliance constitueix avui un pilar estructural de la governança corporativa. La consolidació d’aquests Sistemes en l’àmbit empresarial troba el seu origen en la reforma operada per la Llei orgànica 1/2015, de 30 de març, que va introduir en el nostre ordenament jurídic la possibilitat d’exoneració de responsabilitat penal si es demostrava haver implantat un model d’organització i gestió adequat per a prevenir o reduir el risc de comissió delictiva derivat de la seva activitat. Des de llavors, l’exigència de models d’organització i gestió eficients ha deixat de ser una mera bona pràctica per a convertir-se en un instrument essencial de prevenció, detecció i mitigació de riscos penals.
Malgrat la indiscutible rellevància jurídica i reputacional d’un Sistema de Compliance, moltes empreses incorren en errors freqüents durant el seu disseny i implementació, fet que pot privar al model de la seva eventual eficàcia eximent o atenuant en l’àmbit penal, en evidenciar un dèficit estructural d’organització incompatible amb les exigències de l’article 31 bis 2 del Codi Penal.
El present ComplianceKeys#33 analitza els errors més freqüents que es produeixen en la implantació d’un Sistema de Compliance, amb l’objectiu d’identificar aquelles pràctiques que, lluny d’enfortir la cultura de compliment, erosionen l’efectivitat del model i comprometen la seva validesa.
El primer error, i potser el més recurrent, consisteix a copiar un model estàndard sense adaptació a l’activitat real. Pot semblar una solució ràpida, però un model genèric rarament resisteix una anàlisi pericial, ni supera l’escrutini que acompanya a una recerca penal. El Compliance penal ha de dissenyar-se atesa l’activitat concreta, el sector, la grandària, l’estructura, les ubicacions geogràfiques en els quals opera l’organització, la tipologia de tercers i, sobretot, els riscos reals derivats de processos i decisions internes. L’absència d’aquesta adequació material converteix el Sistema en un mer expedient documental, desconnectat de l’operativa diària. En aquest sentit, la Circular 1/2016 de la Fiscalia General de l’Estat, de 22 de gener, en interpretar l’abast de l’article 31 bis del CP després de la reforma operada per la LO 1/2015, adverteix expressament que l’adopció de models d’organització i gestió merament formals o estandarditzats genera fundats dubtes sobre la seva eficàcia real i sobre l’autenticitat del compromís de la persona jurídica amb la prevenció de delictes. Aquest advertiment resulta coherent amb la crítica doctrinal als denominats Paper Compliance, entesos com a sistemes dissenyats exclusivament per a projectar una aparença de compliment normatiu, però mancats d’integració efectiva en l’estructura organitzativa, en els processos decisoris i en la cultura corporativa.
De forma estretament vinculada a l’anterior, destaca la falta d’un informe de riscos penals detallat. Amb freqüència es confon l’anàlisi de riscos amb la mera enumeració de tipus penals en un document, o fins i tot amb la reproducció acrítica de grups de delictes conforme a la seva sistemàtica en el CP, per exemple, la referència genèrica als delictes contra el mercat i els consumidors. No obstant això, un informe de riscos penalment rellevant exigeix identificar escenaris d’exposició concrets, associar-los als processos i/o activitats que desenvolupa la companyia, valorar la seva probabilitat i impacte, així com comptar amb una metodologia de valoració de riscos coherent i amb criteris sòlids.
En tercer lloc, es considera un error greu delegar íntegrament el Sistema en el departament jurídic o en un responsable formal, sense comptar amb la implicació efectiva de l’òrgan d’administració i l’alta direcció. El tone from the top no ha d’entendre’s únicament com un mecanisme de comunicació corporativa, sinó com un autèntic element probatori de la diligència deguda exercida per l’alta direcció i l’òrgan d’administració. Per contra, qualsevol ambigüitat, tolerància o falta de reacció enfront de pràctiques dubtoses per part dels qui ostenten la màxima responsabilitat organitzativa pot ser interpretada com una acceptació implícita del risc, evidenciant un dèficit de control incompatible amb les exigències de l’article 31 bis 2 del Codi Penal.
Resulta igualment problemàtic subestimar la importància d’una cultura d’organitzacional com a element essencial del Compliance, que impliqui a tots els membres d’una organització. Un model pot estar tècnicament ben configurat, però serà ineficaç si no existeix un compromís real i transversal amb el compliment normatiu. La cultura ètica és el suport que transforma els procediments en pràctiques assumides pels integrants d’una organització. Sense cultura, el Compliance es redueix a una arquitectura formal mancada d’efectivitat substantiva.
Ara bé, aquesta cultura no sorgeix de manera espontània ni pot donar-se per suposada: exigeix, necessàriament, un esforç estructurat i continuat de formació i sensibilització. Per això, la falta de formació específica i periòdica no és només un dèficit operatiu autònom, sinó també una causa directa d’afebliment de la cultura ètica. Un Sistema serà ineficaç si els qui gestionen processos crítics desconeixen quines conductes generen risc penal per a l’organització o com han d’actuar davant situacions de conflicte o dilemes pràctics. La formació no pot limitar-se a una sessió aïllada en el temps ni a la repetició mecànica anual de continguts estandarditzats; ha de ser periòdica, actualitzada, segmentada en funció de responsabilitats i riscos específics, i adequadament documentada. Així mateix, convé distingir formació (transmissió de coneixements i procediments aplicables) de sensibilització (consolidació cultural i reforç de missatges ètics), perquè ambdues compleixen funcions diferents i complementàries.
En sisè lloc, és freqüent nomenar de forma merament formal un òrgan de control, que pot ser tan unipersonal com col·legiat. Un Compliance Officer “de nom” o un comitè que no es reuneix, no analitza, no proposa millores i no deixa evidències, equival, a efectes jurídics, a la inexistència real de l’òrgan de supervisió exigit per l’article 31 bis 2 2n del Codi Penal. Les funcions i responsabilitats del Compliance Officer poden consultar-se en el ComplianceKeys#18 o ComplianceKeys#32.
A això se li suma un error operatiu clàssic: manuals extensos, excessivament tècnics i sense ús real. La sobreproducció documental pot generar una aparença de robustesa, però resulta contraproduent si els textos són inintel·ligibles o inaplicables. Les polítiques i procediments han de ser clars i operatius, amb instruccions concretes, criteris de decisió i rols definits. El llenguatge jurídic pot i ha de ser present, però sense sacrificar la comprensió pràctica dels qui han de complir-ho.
També és particularment lesiu no revisar i actualitzar el Sistema després de canvis interns o legals. Un Sistema obsolet és, en la pràctica, un sistema inútil. Variacions en l’estructura organitzativa, rotació de personal, entrada en nous mercats, canvis en la gamma de productes o serveis o reformes normatives han de reflectir-se en el mapa de riscos, els controls i els procediments. L’actualització no ha de concebre’s com una tasca excepcional, sinó com un cicle periòdic de revisió, amb indicadors, auditories internes, avaluacions d’efectivitat i plans d’acció.
En referència als mecanismes de detecció, una altra equivocació comuna (que fins i tot pot donar lloc a una sanció en cas d’estar obligat a implantar-ho) és l’absència d’un canal intern d’informació, que en tot cas ha de respectar la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció. Sense canal, sense garanties enfront de represàlies i sense un procediment d’actuacions, el Sistema perd un dels seus pilars de prevenció i detecció precoç davant possibles il·lícits penals.
Un altre dels errors més greu consisteix a concebre el Compliance com un mer requisit formal o documental. El denominat Make-Up Compliance o Paper Compliance -models dissenyats únicament per a aparentar compliment- no sols resulten ineficaços des de la perspectiva preventiva, sinó que difícilment podran desplegar eficàcia eximent o atenuant en el marc de l’article 31 bis del Codi Penal.
En aquesta línia, un altre error freqüent és l’absència de conseqüències internes davant l’incompliment de polítiques i procediments. Aquesta falta de sancions no solament afebleix estructuralment el model, sinó que evidencia una manca de cultura ètica real, en transmetre la percepció que les normes internes manquen de serietat, força vinculant i suport efectiu per part de la direcció. Quan l’incompliment no genera resposta, el missatge organitzatiu implícit és que el compliment és opcional, erosionant així la credibilitat del Sistema i la seva capacitat preventiva.
En definitiva, un Sistema de Compliance només desplega eficàcia real quan es concep com un instrument viu, integrat en l’estructura i cultura de l’organització. La mera formalització documental no satisfà les exigències de l’article 31 bis del Codi Penal ni garanteix la seva potencial eficàcia eximent o atenuant. La clau resideix en l’adequació al risc, la implicació efectiva de l’òrgan d’administració i direcció i l’actualització constant del Sistema.
Només des d’una implementació autèntica i materialment efectiva pot el Compliance convertir-se en el veritable motor d’integritat corporativa i en la garantia que sosté el compliment normatiu de l’organització.
La implantació d’un Sistema de Compliance constitueix avui un pilar estructural de la governança corporativa. La consolidació d’aquests Sistemes en l’àmbit empresarial troba el seu origen en la reforma operada per la Llei orgànica 1/2015, de 30 de març, que va introduir en el nostre ordenament jurídic la possibilitat d’exoneració de responsabilitat penal si es demostrava haver implantat un model d’organització i gestió adequat per a prevenir o reduir el risc de comissió delictiva derivat de la seva activitat. Des de llavors, l’exigència de models d’organització i gestió eficients ha deixat de ser una mera bona pràctica per a convertir-se en un instrument essencial de prevenció, detecció i mitigació de riscos penals.
Malgrat la indiscutible rellevància jurídica i reputacional d’un Sistema de Compliance, moltes empreses incorren en errors freqüents durant el seu disseny i implementació, fet que pot privar al model de la seva eventual eficàcia eximent o atenuant en l’àmbit penal, en evidenciar un dèficit estructural d’organització incompatible amb les exigències de l’article 31 bis 2 del Codi Penal.
El present ComplianceKeys#33 analitza els errors més freqüents que es produeixen en la implantació d’un Sistema de Compliance, amb l’objectiu d’identificar aquelles pràctiques que, lluny d’enfortir la cultura de compliment, erosionen l’efectivitat del model i comprometen la seva validesa.
El primer error, i potser el més recurrent, consisteix a copiar un model estàndard sense adaptació a l’activitat real. Pot semblar una solució ràpida, però un model genèric rarament resisteix una anàlisi pericial, ni supera l’escrutini que acompanya a una recerca penal. El Compliance penal ha de dissenyar-se atesa l’activitat concreta, el sector, la grandària, l’estructura, les ubicacions geogràfiques en els quals opera l’organització, la tipologia de tercers i, sobretot, els riscos reals derivats de processos i decisions internes. L’absència d’aquesta adequació material converteix el Sistema en un mer expedient documental, desconnectat de l’operativa diària. En aquest sentit, la Circular 1/2016 de la Fiscalia General de l’Estat, de 22 de gener, en interpretar l’abast de l’article 31 bis del CP després de la reforma operada per la LO 1/2015, adverteix expressament que l’adopció de models d’organització i gestió merament formals o estandarditzats genera fundats dubtes sobre la seva eficàcia real i sobre l’autenticitat del compromís de la persona jurídica amb la prevenció de delictes. Aquest advertiment resulta coherent amb la crítica doctrinal als denominats Paper Compliance, entesos com a sistemes dissenyats exclusivament per a projectar una aparença de compliment normatiu, però mancats d’integració efectiva en l’estructura organitzativa, en els processos decisoris i en la cultura corporativa.
De forma estretament vinculada a l’anterior, destaca la falta d’un informe de riscos penals detallat. Amb freqüència es confon l’anàlisi de riscos amb la mera enumeració de tipus penals en un document, o fins i tot amb la reproducció acrítica de grups de delictes conforme a la seva sistemàtica en el CP, per exemple, la referència genèrica als delictes contra el mercat i els consumidors. No obstant això, un informe de riscos penalment rellevant exigeix identificar escenaris d’exposició concrets, associar-los als processos i/o activitats que desenvolupa la companyia, valorar la seva probabilitat i impacte, així com comptar amb una metodologia de valoració de riscos coherent i amb criteris sòlids.
En tercer lloc, es considera un error greu delegar íntegrament el Sistema en el departament jurídic o en un responsable formal, sense comptar amb la implicació efectiva de l’òrgan d’administració i l’alta direcció. El tone from the top no ha d’entendre’s únicament com un mecanisme de comunicació corporativa, sinó com un autèntic element probatori de la diligència deguda exercida per l’alta direcció i l’òrgan d’administració. Per contra, qualsevol ambigüitat, tolerància o falta de reacció enfront de pràctiques dubtoses per part dels qui ostenten la màxima responsabilitat organitzativa pot ser interpretada com una acceptació implícita del risc, evidenciant un dèficit de control incompatible amb les exigències de l’article 31 bis 2 del Codi Penal.
Resulta igualment problemàtic subestimar la importància d’una cultura d’organitzacional com a element essencial del Compliance, que impliqui a tots els membres d’una organització. Un model pot estar tècnicament ben configurat, però serà ineficaç si no existeix un compromís real i transversal amb el compliment normatiu. La cultura ètica és el suport que transforma els procediments en pràctiques assumides pels integrants d’una organització. Sense cultura, el Compliance es redueix a una arquitectura formal mancada d’efectivitat substantiva.
Ara bé, aquesta cultura no sorgeix de manera espontània ni pot donar-se per suposada: exigeix, necessàriament, un esforç estructurat i continuat de formació i sensibilització. Per això, la falta de formació específica i periòdica no és només un dèficit operatiu autònom, sinó també una causa directa d’afebliment de la cultura ètica. Un Sistema serà ineficaç si els qui gestionen processos crítics desconeixen quines conductes generen risc penal per a l’organització o com han d’actuar davant situacions de conflicte o dilemes pràctics. La formació no pot limitar-se a una sessió aïllada en el temps ni a la repetició mecànica anual de continguts estandarditzats; ha de ser periòdica, actualitzada, segmentada en funció de responsabilitats i riscos específics, i adequadament documentada. Així mateix, convé distingir formació (transmissió de coneixements i procediments aplicables) de sensibilització (consolidació cultural i reforç de missatges ètics), perquè ambdues compleixen funcions diferents i complementàries.
En sisè lloc, és freqüent nomenar de forma merament formal un òrgan de control, que pot ser tan unipersonal com col·legiat. Un Compliance Officer “de nom” o un comitè que no es reuneix, no analitza, no proposa millores i no deixa evidències, equival, a efectes jurídics, a la inexistència real de l’òrgan de supervisió exigit per l’article 31 bis 2 2n del Codi Penal. Les funcions i responsabilitats del Compliance Officer poden consultar-se en el ComplianceKeys#18 o ComplianceKeys#32.
A això se li suma un error operatiu clàssic: manuals extensos, excessivament tècnics i sense ús real. La sobreproducció documental pot generar una aparença de robustesa, però resulta contraproduent si els textos són inintel·ligibles o inaplicables. Les polítiques i procediments han de ser clars i operatius, amb instruccions concretes, criteris de decisió i rols definits. El llenguatge jurídic pot i ha de ser present, però sense sacrificar la comprensió pràctica dels qui han de complir-ho.
També és particularment lesiu no revisar i actualitzar el Sistema després de canvis interns o legals. Un Sistema obsolet és, en la pràctica, un sistema inútil. Variacions en l’estructura organitzativa, rotació de personal, entrada en nous mercats, canvis en la gamma de productes o serveis o reformes normatives han de reflectir-se en el mapa de riscos, els controls i els procediments. L’actualització no ha de concebre’s com una tasca excepcional, sinó com un cicle periòdic de revisió, amb indicadors, auditories internes, avaluacions d’efectivitat i plans d’acció.
En referència als mecanismes de detecció, una altra equivocació comuna (que fins i tot pot donar lloc a una sanció en cas d’estar obligat a implantar-ho) és l’absència d’un canal intern d’informació, que en tot cas ha de respectar la Llei 2/2023, de 20 de febrer, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció. Sense canal, sense garanties enfront de represàlies i sense un procediment d’actuacions, el Sistema perd un dels seus pilars de prevenció i detecció precoç davant possibles il·lícits penals.
Un altre dels errors més greu consisteix a concebre el Compliance com un mer requisit formal o documental. El denominat Make-Up Compliance o Paper Compliance -models dissenyats únicament per a aparentar compliment- no sols resulten ineficaços des de la perspectiva preventiva, sinó que difícilment podran desplegar eficàcia eximent o atenuant en el marc de l’article 31 bis del Codi Penal.
En aquesta línia, un altre error freqüent és l’absència de conseqüències internes davant l’incompliment de polítiques i procediments. Aquesta falta de sancions no solament afebleix estructuralment el model, sinó que evidencia una manca de cultura ètica real, en transmetre la percepció que les normes internes manquen de serietat, força vinculant i suport efectiu per part de la direcció. Quan l’incompliment no genera resposta, el missatge organitzatiu implícit és que el compliment és opcional, erosionant així la credibilitat del Sistema i la seva capacitat preventiva.
En definitiva, un Sistema de Compliance només desplega eficàcia real quan es concep com un instrument viu, integrat en l’estructura i cultura de l’organització. La mera formalització documental no satisfà les exigències de l’article 31 bis del Codi Penal ni garanteix la seva potencial eficàcia eximent o atenuant. La clau resideix en l’adequació al risc, la implicació efectiva de l’òrgan d’administració i direcció i l’actualització constant del Sistema.
Només des d’una implementació autèntica i materialment efectiva pot el Compliance convertir-se en el veritable motor d’integritat corporativa i en la garantia que sosté el compliment normatiu de l’organització.