Compliance

¿Cuándo debo realizar la revisión periódica de mi modelo de cumplimiento normativo?

¿Cada cuánto tiempo es aconsejable revisar el plan compliance de una empresa?

Cada vez con mayor frecuencia observamos que la inquietud de las organizaciones en materia de cumplimiento normativo ha variado (o evolucionado): mientras que hace pocos años se centraba en diseñar un Modelo de Compliance “desde cero”, ahora su  preocupación suele pivotar en torno a la revisión “de lo ya implementado”.

Por desgracia, la Circular 1/2016, sobre la responsabilidad penal de las personas jurídicas (en lo sucesivo “la Circular”), parte del principio de desconfianza, lo que exige a las  organizaciones extremar la atención en el diseño, implantación y revisión de los  Modelos de Compliance, con el propósito de que éstos resulten “eficaces” (palabra que  se repite hasta en 42 ocasiones en la referida Circular). 

O, dicho de otro modo, más allá de que las compañías dispongan de una Política de  Compliance “de la que se sientan tremendamente orgullosas”, lo verdaderamente  importante es que el Modelo tenga la capacidad de adaptarse y de mantener su utilidad  práctica frente a las cambiantes circunstancias de la organización y de su entorno.  

En este sentido, dado que las compañías no son entes estáticos, como tampoco lo son  los riesgos a los que se enfrentan, es importante que el Modelo sea revisado  periódicamente, de conformidad con el artículo 31 bis 5.6º del Código Penal (en lo  sucesivo, “C.P.”).  

Según la Real Academia Española, el adjetivo “periódico” significa “que guarda período  determinado” o “que se repite con frecuencia a intervalos determinados”. Pero ¿qué  entendemos por “revisión periódica” a efectos de cumplimiento normativo? ¿una  revisión trimestral del Modelo de Compliance? ¿una anual? ¿una cada 5 años? 

Es curioso que, pese a que la responsabilidad penal corporativa lleva con nosotros una  docena de años, sigue sin haber consenso (si no, más bien, ambigüedad), respecto de la  periodicidad o tipología de esas revisiones del Modelo de Cumplimiento Normativo. De  hecho, ni el C.P., ni la Circular, ni la UNE 19601:2017, sobre Sistemas de gestión de  compliance penal (en adelante, “UNE 19601”)1, son claros al respecto. Veámoslo. 

En primer lugar, el C.P. establece en el ya citado art. 31 bis 5º.6 que “se realizará una  verificación periódica del modelo y de su eventual modificación cuando se pongan de  manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios  

en la organización, en la estructura de control o en la actividad desarrollada que los  hagan necesarios”. 

Si nos paramos a analizar detenidamente el referido precepto, parece que no habría  obligación de verificar los Modelos de Compliance sólidos donde no haya ocurrido tales  circunstancias (“infracciones relevantes o cambios que los hagan necesarios”), aunque  ello supondría alejarse de las buenas prácticas que recomiendan los estándares  internacionales y una conducta temeraria en organizaciones de determinada dimensión.  

En segundo lugar, la Circular parece que arroja un mínimo de luz (aunque muy  tímidamente) respecto de la literalidad del C.P., al sostener en su folio 23 que “aunque  el C.P. no establece plazo ni procedimiento alguno de revisión, un adecuado modelo de  organización debe contemplarlos expresamente (…) y deberá ser revisado  inmediatamente si concurren determinadas circunstancias que puedan influir en el  análisis de riesgo (…)”. 

Por último, la UNE 19601, sí que abordó por vez primera la periodicidad de las revisiones  de los Modelos de Compliance (aunque lo hiciese en una nota al pie de página), al  afirmar que “se recomienda que el Sistema de Compliance se revise de manera anual

Por tanto, los tres Documentos parecen dejar en un segundo plano la “discusión” sobre  la periodicidad en la supervisión de los Modelos de Cumplimiento Normativo,  centrándose (en parte, con razón) en una fase anterior a la revisión, esto es, en el diseño  de los Modelos de Compliance que, a la fecha de publicación de los citados Textos, era  muy residual e incipiente.  

Expuesto lo anterior, a mi modo de ver, para que un Modelo de Cumplimiento  Normativo sea idóneo, debe contemplar un doble sistema de revisión, y ello, independientemente del tamaño de la organización.  

De un lado, debe incluir una actualización anual u ordinaria que englobe aspectos más  genéricos2, como por ejemplo: (i) reformas legislativas que afecten a la función de  Compliance; (ii) eficacia (o no) de los controles, medidas y procedimientos implantados;  (iii) análisis del compromiso interno (empleados y directivos) y externo (socios de  negocio) con la “cultura de cumplimiento” en la organización; o (iv) existencia (o  inexistencia) de denuncias a través del canal de comunicación especialmente habilitado.  

De hecho, una situación muy generalizada al realizar estas revisiones ordinarias es la  relativa a la ausencia de denuncias, quejas o dudas en el Canal de Denuncias. Por mucho  que desde la organización se defienda que “eso se debe a que en la empresa somos todos  muy éticos”, quizá también se deba a que los empleados de la compañía no saben dónde  acudir ante la observancia de una eventual irregularidad en materia de Compliance. En  ese caso, por ejemplo, sería interesante impartir una formación específica en la  organización para que sus integrantes entiendan cómo, cuándo y para qué utilizar la  referida herramienta (o, dicho sea de paso, para que el referido Canal no se convierta  en una línea recurrente y genérica de atención al empleado). 

De otro lado e independientemente de lo anterior, es necesario realizar una  actualización extraordinaria o sobrevenida cuando, entre otras cuestiones, (i) se haya  producido un incumplimiento grave del Modelo de Compliance (por ejemplo, la comisión de un delito por un integrante o socio de negocio en beneficio de la  organización); o (ii) surja una variación en el organigrama funcional de la compañía que  conlleve un cambio de actividades, productos o servicios, dentro de la persona jurídica.  

Compliquémoslo un poco más. Imagínense que una compañía, en septiembre de 2022,  realiza una revisión anual y ordinaria de su Modelo de Compliance, con tan mala suerte  de que, 4 días más tarde, surge una reforma del C.P. que incluye dos nuevos delitos en  el sistema de numerus clausus. ¿Debe la organización esperar 361 días (hasta la  siguiente revisión ordinaria) o, por el contrario, debe actualizar su Modelo de manera  extraordinaria para que no quede obsoleto hasta que se efectúe la siguiente revisión (“los modelos de organización y gestión deben estar perfectamente adaptados a la  empresa y a sus concretos riesgos3”)? 

Desde mi punto de vista, ese desafortunado supuesto de hecho sigue incluyéndose dentro de la revisión ordinaria del Modelo de cumplimiento normativo. El Compliance  Officer debería dejar constancia escrita de que está al tanto de esa reforma del C.P. y de  la necesidad de incluir esos nuevos delitos y controles, pero no en ese momento, sino  en la próxima revisión ordinaria del Modelo, junto con las que demás actualizaciones  genéricas que procedan.  

Y es que, recordemos que el propósito de los Modelos de Cumplimiento Normativo gira  en torno a su idoneidad, por lo que los mismos deben insertarse de manera dinámica en  las organizaciones, so pena de incurrir en un exceso de información que, nunca mejor  dicho, los haga ineficaces.  

Publicaciones Similares