El Compliance Officer: Un profesional Independiente

La idea de Compliance emerge en los Estados Unidos de América, con la creación del Prudential Securities en 1.950 y con la Regulación del SEC de 1960, donde con toda claridad se hace referencia a la necesidad de institucionalizar los “Oficiales de Cumplimiento o “Compliance Officers” con la finalidad de crear -en su ámbito- procedimientos de control, monitorear operaciones y entrenar personal. El Director de Cumplimiento Normativo se ha convertido en un cargo que cada vez gana más peso en las empresas debido a la creciente complejidad del entorno regulatorio, sin embargo sus funciones son todavía una incógnita. Surge como una figura de vigilancia y control orientado a prevenir la comisión de delitos y se trata de una profesión en auge, que aparece como necesidad tras los numerosos escándalos financieros y contables ocurridos en los últimos años en las empresas, motivo por el cual los países han multiplicado el número de regulaciones nacionales e internacionales orientadas a garantizar la transparencia y el correcto cumplimiento de la ley.

En España el instrumento legal que ha consolidado esta figura la Ley Orgánica 1/2015, de 30 de marzo, por la que se modifica la LO 10/1995, de 23 de noviembre, del Código Penal, entre otras modificaciones, se determinó que para que las empresas, organizaciones y demás personas jurídicas pudieran eximirse de su posible responsabilidad criminal por delitos cometidos por sus gestores, empleados o dependientes, los órganos de administración de las empresas deben de haber adoptado y ejecutado, antes de la comisión de dicho delito, un modelo de organización y gestión que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza que el cometido, debería desarrollarse en el seno de las mismas una labor preventiva eficaz de la comisión de dichos delitos, a los efectos de su evitación, sin que ello suponga ni una seguridad de 100%, ni una patente de corso para el empresario, ni tampoco una situación de impunidad para la empresa, y debe tenerse en consideración que hasta un plan de prevención de delitos bien hecho, puede fallar, y no evitar la comisión de la infracción penal, y no obstante, ser eficaz para el fin pretendido, que es básicamente, la exoneración plena y completa de la empresa en el momento procesal correspondiente de cualquier clase de responsabilidad penal por determinados hechos cometidos en su beneficio sea este directo o indirecto.

La exención de responsabilidad penal para las empresas va a depender, además, de que este programa de cumplimiento normativo penal esté gestionado por una persona o profesional responsable, el llamado “Oficial de Cumplimiento“ o “Compliance Officer, cuyas funciones y responsabilidades, en principio, se derivan del propio contenido del Código Penal.

Dentro del Código Penal, con relación a la figura del “Oficial de Cumplimiento“ o “Compliance Officer”, son varias las referencias referencias legales que con relación al mismo, podemos encontrar:

a). La que se contiene en el artículo 31 bis, número 2, condición 2ª CP, cuando se señala que la supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado tiene que ser confiada a un órgano de la persona jurídica y, además, ese mismo precepto añade que dicho órgano tiene que tener poderes autónomos de iniciativa y de control.

b). La que se refiere a las funciones del órgano de cumplimiento normativo penal cuando, en el artículo 31 bis, número 2, condición 4ª CP, se señala que la exención de responsabilidad operará siempre que no se haya producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control.

c). En el artículo 31 bis, número 5, requisito número 4 CP, se dice que es obligatorio que los modelos de organización y gestión impongan informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

d). En el art. 31 bis número 3 dice que en las personas jurídicas de pequeñas dimensiones, es decir, las que estén autorizadas a presentar cuenta de pérdidas y ganancias abreviada, las funciones de supervisión podrán ser asumidas directamente por el órgano de administración.

A partir de estas referencias pueden deducirse algunas de las tareas o funciones que en una empresa debe cumplir la persona u órgano encargado de cumplimiento normativo penal, pero, en realidad, son referencias incompletas que no parecen fijar con suficiente detalle y concreción las funciones de ese órgano.

El Oficial de Cumplimento, es el ejecutivo que debe ser designado por el máximo órgano directivo de una empresa o persona jurídica, para que asuma las responsabilidades de impulsar la adopción y observancia de las políticas para prevenir y administrar el riesgo del cumplimiento normativo, del código de conducta o de ética, así como es el responsable de verificar la aplicación de la ley, formular y ejecutar procedimientos y diseñar controles adecuados, efectivos y de calidad, con el propósito de prevenir la comisión de delitos, infracciones administrativo, y el desarrollo de conductas que puedan ser consideradas como irregulares o atentatorias contra los valores y criterios consignados en un Código de Ética o de Compliance.

En este caso, el «riesgo de incumplimiento» puede definirse como el riesgo de sanciones legales, normativas, pérdida financiera material o de reputación que una entidad puede sufrir como resultado de incumplir las leyes, regulaciones, normas, estándares de autorregulación y códigos de conducta aplicables a sus actividades.

El Oficial de Cumplimiento como administrador de riesgos, tiene a su cargo impulsar, promover y desarrollar la cultura corporativa de administración de riesgos en materia de cumplimiento normativo en las entidades, entendiendo por tal el método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar, monitorear y comunicar los riesgos asociados con una determinada actividad, función o proceso, en aras a la creación y conservación de valor en la organización, posibilitando que el personal de todos los niveles mejore su comprensión frente a los riesgos a los que se enfrenta dicha entidad y su debida administración. Por tanto, sus funciones se comprenden la toma de decisiones y al mismo tiempo, el establecimiento de rutinas de vigilancia adecuada de la gestión, sistemas y controles relacionados, distribución de responsabilidades, capacitación y otras políticas afines que se ven afectados por el riesgo de carácter legal en cualquier organización.

Esta función se convierte en uno de los elementos de mayor importancia del sistema de administración del riesgo legal en el seno de cualquier empresa o sociedad, y él será el encargado de promover de impulsar y desarrollar el sistema de administración del riesgo legal, la adopción de los procedimientos específicos de prevención, su actualización y su conformidad con las exigencias legales.

El Oficial de Cumplimiento, o Compliance Officer, es formalmente una figura caracteriza por su independencia en el seno de cualquier empresa. En términos generales, el “concepto de independencia” se refiere a la autonomía con la que debe contar un profesional para poder decidir y tomar decisiones aplicando la normativa, los principios éticos, y su criterio, a la resolución de cualquier clase de cuestión, incidencia o contingencia que pueda surgir en el seno de una empresa. El principio de independencia profesional no tiene solamente relieve deontológico. Se configura jurídicamente como uno de los bienes materiales de que es titular el ente profesional, que ha sido dotado del poder- deber de salvaguardarla. La independencia se entiende como la ausencia de toda forma de injerencia, de interferencia, de vínculos y de presiones de cualquiera, sean provenientes del exterior y que tiendan a influenciar, desviar o distorsionar la acción del profesional para la consecución de sus fines y la actividad desempeña por los colegiados en el ejercicio de su profesión. Cualquier distorsión o intromisión en la independencia del profesional en derecho debe ser considerada ilícita.

Sobre el oficial de cumplimiento recae una gran responsabilidad, especialmente desde la óptica penal, dado su perfil de “experto conocedor” e independencia de actuar. Colom Planas ha señalado con relación al mismo, que debe tenerse en cuenta que la asignación del deber específico de supervisión actúa como una delegación del deber de control, que corresponde a los administradores de la empresa, y genera una obligación, un deber jurídico de vigilancia y control, cuya omisión puede llegar a constituir un delito. Podría llegar a contemplarse la intervención delictiva del Compliance Officer pudiendo imputársele comisión por tolerancia dolosa (complicidad) o por omisión imprudente del deber de garante.

La forma de definir el principio de independencia para Lega lo es en forma negativa, y considera a dicho principio como la ausencia de injerencias y presiones en el ejercicio de la profesión, pero también desde un aspecto positivo, como lo son, la autonomía y la libertad en la citada actividad profesional. Es manifiesto que tanto el Compliance Officer, como el Data Protection Officer deben atenerse profesionalmente a su saber y conciencia, por lo que la independencia de su actuación, va referida, en principio, a estos extremos. Partiendo de lo anterior, el primer obstáculo a la independencia profesional lo es la propia ignorancia del profesional. Por ello, cuando se hace referencia al concepto de la independencia de estos profesionales no es a esa autonomía o independencia a la que se debe hacer alusión, sino a la que tiene su asiento en la voluntad, es decir, en la libertad del profesional, esto es, a la posibilidad de tomar decisiones propias, no condicionadas por injerencias o mediatizaciones externas. Estamos, pues, ante un concepto de independencia exterior, no interior.

Como elemento característico, propio y singular de un programa de Cumplimiento (Corporate Compliance) a establecer por toda organización para evitar las responsabilidades penales de la empresa se establece una figura, la del Oficial de Cumplimiento (Corporate Compliance Officer) que va a ser quien debe velar por el cumplimiento de dicho programa en los términos indicados anteriormente. Lo que resulta fundamental es la independencia de este profesional respecto de su propia organización, para posibilitar el ejercicio libre de sus funciones, tal como señala Dueñas.

Por lo tanto, este Oficial de Cumplimiento, para resultar independiente y velar por el cumplimiento del plan de cumplimiento debería tener garantizado:

a). Una retribución acorde con sus responsabilidades. Una adecuada retribución garantiza la independencia del oficial de cumplimiento.

b). Una definición clara de sus funciones, tanto para evitar sus propias responsabilidades – es una profesión en que se asume un riesgo personal- como para definir sus obligaciones.

c). Una indemnización por despido sujeta a un contrato de alta dirección, regulado en el Real Decreto 1382/1985, de 1 de agosto, por el que se regula la relación laboral de carácter especial del personal de Alta Dirección, y que evite las tentaciones de presiones sobre el mismo del órgano de administración.

d). Un régimen sancionador específico para el mismo, sujeto a la misma norma anterior.

Además, tal y como establece el Código Penal, deberían garantizarse la existencia de medios financieros suficientes para el ejercicio de sus funciones. Y, dado que las decisiones que se tomen desde el órgano de administración de la sociedad puedan suponer un riesgo penal para las mismas, debería tener facultades similares al interventor de la sociedad anónima (artículo 381 del Real Decreto Legislativo 1/2010, de 2 de julio, por el que se aprueba el texto refundido de la Ley de Sociedades de Capital) para fiscalizar la actuación del órgano de administración. Por ello, para Dueñas, estos mínimos garantizarían la independencia del oficial de cumplimiento.

No obstante ello, para que la función desarrollada por el “Oficial de Cumplimiento” o “Compliance Officer” sea verdaderamente independiente, necesita de la concurrencia de otros elementos adicionales. No basta para el adecuado ejercicio de su función, la exclusiva concienciación por parte de la Alta Dirección de la persona jurídica, de dotar a la misma de un programa de cumplimiento adecuado y eficaz, ya que ello constituye un punto de partida, pero no de llegada en el análisis de esta función de valoración de esta obligación. La función de cumplimiento para ser eficaz, y al mismo tiempo, poder ser formal y materialmente independiente debe ir acompañada de la aportación de los correspondientes recursos económicos, materiales y humanos para el ejercicio de esta función por parte de la empresa. En este sentido, una prueba evidente de la concienciación de la organización en el cumplimiento y desarrollo de esta labor preventiva, se materializa en el hecho de la aportación de estos medios, y su acreditación, elemento que cobra una singular importancia cuando dicha prueba se efectúa ante la autoridad judicial, a los efectos de poder demostrar de manera efectiva la preocupación, la concienciación y la atención prestada a las labores de cumplimiento normativo en aras de evitar la comisión de ilícitos penales en el seno de dicha organización. Además de ello, el Compliance Officer necesita que se le dote del adecuado “poder” para adoptar decisiones e imponer su criterio a la propia persona jurídica, y ello implica que debe gozar del “status” necesario que exige el desarrollo de su actividad. Por tanto, puede afirmarse que el “poder” y el status”, en dosis adecuadas, igualmente constituyen elementos irrenunciables para el ejercicio de sus funciones de manera independiente por parte del Compliance Officer.

Para valorar el alcance y la justificación del carácter de independencia que debe caracterizar el desarrollo de la función propia del Compliance Officer, puede traerse a colación la opinión de Xavier Ribas, el cual ha señalado que el artículo 11 del Código Penal establece que los delitos que consistan en la producción de un resultado sólo se entenderán cometidos por omisión cuando la no evitación del mismo, al infringir un especial deber jurídico del autor, equivalga, según el sentido del texto de la Ley, a su causación. A tal efecto, se equiparará la omisión a la acción cuando exista una específica obligación legal o contractual de actuar o cuando el omitente haya creado una ocasión de riesgo para el bien jurídicamente protegido mediante una acción u omisión precedente. Todo parece indicar que la clave está en la delegación del control y en la asignación legal o contractual de un deber de control. Esta delegación se produce en la línea del negocio, es decir, desde el Consejo de Administración al responsable del departamento o la unidad de negocio en la que puede originarse el riesgo, y en la que debe establecerse por lo tanto el control. El control debe estar cerca de riesgo, y debe ser un control experto. Por ello, no puede pretenderse que el Compliance Officer tenga un conocimiento omnicomprensivo que le permita realizar un control realmente experto del cumplimiento de las medidas de prevención.

Es importante por lo tanto analizar la línea de delegación, ya que el deber jurídico del control, como establece el artículo 11 del Código Penal, puede provenir de una obligación legal o de una obligación contractual. Y es justamente la delegación de la función de control a un directivo concreto, en el marco de la relación contractual que lo une a la empresa, la que puede hacer atribuible el deber jurídico de control y la responsabilidad penal a un cargo que no ostente la representación legal de la empresa. Por tanto, cabría la posibilidad de que al Compliance Officer se le asignasen obligaciones de control suficientes para atribuirle, conscientemente o no, la responsabilidad penal de la omisión del control o de un control deficiente, y esa delegación de obligaciones es la que habrá que analizar con detalle tanto en el momento del nombramiento como en el momento de la depuración de las responsabilidades. La responsabilidad penal de la omisión de las medidas de vigilancia y control al representante legal o administrador de hecho o de derecho de la empresa. Dentro de estas medidas de vigilancia se incluye la contratación, la selección cuidadosa y responsable y la vigilancia del personal de inspección y control. Ello significa que la responsabilidad penal derivada de la omisión de las medidas de prevención y control corresponde al representante legal y que el Compliance Officer forma parte del personal de inspección y control que el representante legal debe contratar. Por ello, podría darse el caso de que el representante legal delegase este deber de control en el Compliance Officer y éste asumiese la responsabilidad penal derivada de la omisión del control.

El carácter independiente del Compliance Officer no le sitúa en la cadena de mando o toma de decisiones, sino que tiene una posición colateral, en aras de velar por la supervisión, precisamente, de la normativa externa e interna de la empresa, de los valores éticos que caracterizan su misión y su visión de negocio, y adicionalmente por los compromisos de responsabilidad social empresarial que la persona jurídica haya asumido voluntariamente. Solo desde esa posición colateral es posible llevar a cabo las funciones que legal y convencionalmente le hayan sido atribuidas al mismo. Finalmente debe tenerse en cuenta, que dicho carácter de independencia no determina su alejamiento del negocio, ni su contraposición al mismo.

Javier Puyol
Abogado
Magistrado
Consultor TIC

Juande

Cuenta con una experiencia de más de 20 años en la realización de tareas de consultoría, gestión de productos, gestión de equipos y desarrollo de sistemas de información, participando en proyectos en distintos sectores como la Administración Pública, Sanidad o Telcos, en los que se han implementado diferentes soluciones como sistemas de gestión para la Administración, big data, eLearning, aplicaciones móviles, telemedicina, BPM, eCommerce, gestión de contenidos.