¿Es obligatoria la verificación de los modelos de Compliance?

Entre los requisitos mínimos de un Modelo de Compliance eficaz, el Artículo 31 bis, 5, 6.º del Código Penal establece que será necesaria la realización por parte de la organización, tanto de una verificación periódica del mismo, como su eventual modificación cuando se den determinadas circunstancias que más adelante analizaremos. Sin el cumplimiento de dichas exigencias, el modelo de Compliance no desplegará, en ningún caso, su eficacia como eximente de la responsabilidad penal de la persona jurídica.

La Circular 1/2016 de la Fiscalía General, también hace alusión a dicho requisito al disponer que el Código Penal “impone a la persona jurídica el deber de verificar periódicamente la eficacia del modelo. Aunque el texto no establece plazo ni procedimiento alguno de revisión, un adecuado modelo de organización debe contemplarlos expresamente. Además, el modelo deberá ser revisado inmediatamente si concurren determinadas circunstancias”.

Por tanto, la verificación del modelo de Compliance puede producirse de dos formas: programada (verificación periódica), sin necesidad de venir motivada por hechos especiales, o sobrevenida (modificación), ante la materialización de determinados eventos. Ambas perseguirán distintas finalidades, mientras que la revisión periódica pretende identificar oportunidades de mejora y anticiparse a eventuales problemas futuros, la verificación sobrevenida buscará aportar soluciones ante fallos detectados en el modelo, o ante cambios, internos o externos, que así lo aconsejen.

En este punto, podríamos diferenciar entre circunstancias internas que obligarían a una revisión del modelo ( infracciones relevantes de las disposiciones del modelo, desarrollo de nuevas líneas de actividad y negocio, cambios en la dirección o en la plantilla, nuevos proveedores o terceros que puedan involucrarla en actos ilícitos etc.) y circunstancias externas  (modificaciones legislativas, nuevos criterios jurisprudenciales, acontecimientos económicos, sociales o culturales que puedan incidir en una mayor supervisión de ese riesgo, etc.).

¿Cada cuanto tiempo es necesaria la revisión?

En lo referente a la periodicidad de las revisiones, el tenor literal del art. 31 bis 5. 6º CP sólo requiere que las verificaciones del modelo sean periódicas, pero no establece referencia alguna a plazos temporales. Del mismo modo, la jurisprudencia en la materia tampoco ha ahondado en dicho extremo, centrándose la mayor parte de los pronunciamientos judiciales en la valoración de si las organizaciones han venido cumpliendo y pueden documentar la efectiva realización de las verificaciones, dentro de los plazos por ellas mismas establecidos en sus modelos o sistemas de prevención del delito.

En consecuencia, queda extremadamente abierta esta condición, y deberemos acudir a la Doctrina en busca de un criterio temporal. Autores como José León Alapont han venido considerando que un adecuado modelo de organización y gestión deberá incluir expresamente dicho extremo. El mismo autor, señala que deberán contemplarse tres posibles vías de determinar dicha periodicidad:

1.- Distinción entre periodicidad de la verificación de todos los componentes del Modelo de Compliance y del Mapa de Riesgos: Estas revisiones del Modelo no deben confundirse con las de evaluación de riesgos penales. No obstante, a pesar de ser actividades diferenciadas, lo habitual será desarrollarlas conjuntamente por las sinergias que se derivan de ambos ejercicios. A juicio de algún autor, el Compliance en conjunto debe ser revisado con una periodicidad anual. Y el Mapa de Riesgos, cada tres.

2.- Distinción entre periodicidad de las auditorías internas y de las externas: En este sentido, al margen de la “auditoría interna”, debería encargase una de carácter externo o producirse la renovación de la certificación con carácter bianual.

3.-Distinción entre verificaciones del modelo en personas jurídicas de mayor tamaño y en personas jurídicas de dimensiones reducidas: En opinión de algún autor podría estimarse que, con carácter general, el plazo de revisión fuera anual, mientras que en el caso de personas jurídicas de “dimensiones reducidas” el plazo de verificación debiera ampliarse por un tiempo que no superase los tres años. 

Por su parte, la Norma UNE 19601:2017, en su apartado 9.3 (nota 1), establece que

“la frecuencia de los informes dependerá de los requisitos de la organización, pero se recomienda que sea, al menos, anual”.

Otros autores, como Puyol, en relación a las actualizaciones de los modelos de Compliance, señalan que, al margen de las revisiones programadas, que deberían realizarse anualmente, el Modelo o Sistema de Compliance deberá ser actualizado ante cambios relevantes en la organización, por modificaciones legales o jurisprudenciales que así lo aconsejen, en el plazo de seis meses desde la modificación, y siempre que se pongan de manifiesto infracciones relevantes de sus disposiciones, que igualmente lo aconsejen.

Dicho autor sugiere, del mismo modo, una revisión del mapa de riesgos de forma programada, cada tres años como mínimo, y siempre que las circunstancias así lo exijan.

En conclusión, queda de manifiesto que las verificaciones, tanto periódicas como sobrevenidas, de los modelos de Compliance resultan de vital importancia y que, sin su efectiva realización, las organizaciones no podrán beneficiarse de una eventual exoneración de responsabilidad penal.

Por tanto, la mejor opción para las organizaciones será recurrir a profesionales especializados en Compliance que, como Bufete Osuna, conozcan la mejor forma de configurar el sistema de revisiones del Modelo, y de afrontar la ejecución práctica del mismo, garantizando su eficacia y la consecución de sus fines últimos.