Service Desk

1. Introducción

El Compliance Program o Programa de Cumplimiento es un conjunto de procedimientos y prácticas que sirven para identificar y clasificar los riesgos operativos, administrativos, financieros   legales a los que se enfrenta la empresa y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.

Se puede definir como el establecimiento de un sistema de cumplimiento normativo de la empresa u organización en los que se definan y establezcan los procedimientos que aseguren el cumplimiento normativo interno y externo.

En este orden de ideas, de conformidad con lo previsto en el Código Nacional de Procedimientos Penales (CNPP),  en el que se establece  la responsabilidad y comisión de delitos por parte de una persona jurídica, así como las sanciones; así mismo, señala que dichas sanciones podrán atenuarse hasta en una cuarta parte si con anterioridad al hecho que se les imputa, las personas jurídicas contaban con un órgano o sistema de control permanente, encargado de verificar el cumplimiento de las disposiciones legales aplicables para darle seguimiento a las políticas internas de prevención delictiva.

De allí la importancia de establecer un Compliance Program o Programa de Cumplimiento normativa dentro de la estructura interna de la empresa con la finalidad de implementar en ella un modelo de organización y gestión eficaz e idóneo que permita mitigar el riesgo de la comisión de delitos y exonerar a la empresa, de cualquier responsabilidad penal, civil, administrativa, y todo aquello que signifique un factor de riesgo para la empresa.

Dentro del marco normativo de la empresa no han de considerarse únicamente las normas legales, como leyes y reglamentos, sino que se incluyen las políticas internas, los compromisos con clientes, proveedores o terceros y, especialmente, los códigos de ética que la empresa se haya comprometido a respetar.

1. Objetivo: Responsabilidad penal de la Empresa u Organización.

¿Qué es la Responsabilidad Penal de Empresa?

Es la responsabilidad penal de las organizaciones en México impone sanciones penales a las empresas cuando sus representantes o administradores de hecho o de derecho, e integrantes en general, con motivo de la operación y las actividades comerciales, profesionales o industriales, cometan algún delito en nombre de la empresa, por cuenta de la empresa, en beneficio de ésta o a través de los medios y herramientas de trabajo que se les hayan proporcionado, siempre y cuando se determine que, además, existió inobservancia del debido control en la organización.

Contar con un Compliance Penal, particularmente con la implementación efectiva de una Política Interna de Prevención Delictiva (PIDP), cuyo contenido mínimo es el siguiente:

Diagnóstico para el mapeo, identificación y categorización de los riesgos penales, con base en los catálogos de delitos establecidos en los Códigos Penales aplicables. 

El objetivo es implementar medidas para la debida administración o prevención de riesgos delictivos en el seno de la organización. Este diagnóstico debe ser siempre actualizable: 

1. Al reformarse la ley penal; 
2. Al modificarse la operación y actividades societarias; y/o (c) periódicamente, según la naturaleza y alcances de dichas actividades organizacionales. 
3. Formalizar el acta o el acuerdo interno de los órganos de gobierno corporativo, de adoptar e implementar la PIPD.

Un órgano de control permanente encargado expresamente del seguimiento, verificación y supervisión del cumplimiento de la Política Interna de Prevención Delictiva. Es importante que las personas integrantes de este órgano en la corporación cuenten con el perfil, formación y capacitación necesaria para comprender el contenido y efectos de los riesgos penales que están siendo prevenidos. Este órgano debe tener autonomía de gestión y decisión.

Disposiciones o normas bien redactadas con un lenguaje claro y común para comprensión de todo el personal a cualquier nivel de la empresa, incluidos clientes y proveedores. Asimismo, un “glosario” de términos y conceptos que requieran empática explicación. Es un documento dinámico que puede denominarse Política, Manual, Modelo, Protocolo o Programa de cumplimiento normativo organizacional para la prevención de delitos, el cual debe ser autorizado por el Consejo de Administración, Asamblea de Socios, Comités o la máxima autoridad societaria.

Palancas o mecanismos de control, supervisión y vigilancia operacional a nivel de personas, data o información, procesos, subprocesos y del sistema organizacional en su conjunto, incluida la auditoría transversal.

Canal de denuncias internas y externas, armonizado con un sistema disciplinario, ya sea interno o externo, de acceso permanente, lineamientos o instrumentos que faciliten la denuncia y medidas para la guarda y custodia de la información.

Sistema disciplinario, congruente con su código de conducta, políticas internas en general y los lineamientos en materia laboral.

Programa de selección, contratación y capacitación de personal, acorde con la naturaleza, verificaciones de antecedentes y perfiles laborales, incluida la formación y capacitación constante y acreditable de dicha Política Interna de Prevención Delictiva para su empoderamiento por parte de todos los integrantes de la organización.

Sistema de gestión de recursos financieros y materiales; es decir, un control de costos de cumplimiento normativo y regulatorio, reflejado en los balances y estados financieros. 

Área de Asuntos Internos.

La ley penal convierte a las empresas en vigilantes de su propia corporación, las cuales tienen el deber de colaborar o cooperar con las autoridades para prevenir y evitar delitos futuros en el seno de sus organizaciones. 

Es necesario otorgar poderes especiales o facultades de representación legal con cláusulas especiales y expresas para efectos penales, en favor de las personas físicas designadas para representar a la persona jurídica o corporación en caso de tener la necesidad de afrontar un procedimiento legal de responsabilidad penal de empresa.

Plan de prevención de riesgos penales. 

Un plan de acción, mitigación de riesgos, tiempos y personas encargadas de liderar los protocolos o procedimientos. Identificación de prioridades y categorías o criticidad de riesgos. Es fundamental que, en todo momento, antes y durante la implementación de la estrategia en materia de cumplimiento organizacional se consoliden las evidencias y el acreditamiento documental y/o audiovisual para demostrar el debido cumplimiento organizacional, en caso de ser requeridos por las autoridades.

Nivel de intensidad o grado de cumplimiento. 

La ley penal no precisa los límites y alcances de la Política Interna de Prevención Delictiva, es decir, los límites del Compliance Penal. Sin embargo, resulta conveniente implementarla en proporción a los riesgos penales, acorde con la naturaleza operativa y actividades organizacionales.

El objetivo es fomentar una nueva cultura de autorregulación empresarial y de verdadera fidelidad al cumplimiento normativo efectivo, así como adoptar una cultura de prevención de delitos. Es importante enfatizar que la Política Interna de Prevención Delictiva es independiente, pero complementaria, de muchas otras Políticas o compliance en las empresas, como son el Código de Conducta, la Protección de Datos Personales, la Confidencialidad, la evitación de Conflictos de Interés, Anticorrupción, Antilavado de dinero, de No Discriminación, etc.

Durante el procedimiento de investigación penal, y mientras se determina si existió o no delito, las autoridades competentes podrán imponer actos procesales en contra de las empresas. Por ejemplo, para garantizar la reparación del daño podrán solicitar el embargo de bienes, la inmovilización de cuentas y demás valores que se encuentren dentro del sistema financiero; asimismo, el aseguramiento de bienes, la exhibición de una garantía económica y la suspensión temporal en el ejercicio de una determinada actividad.

¿Cuáles son las sanciones penales para las Empresas?

Con independencia de las penas que le correspondan a las personas físicas por la comisión del delito, si se determina la culpabilidad penal de la empresa por haberse comprobado su inobservancia del debido control organizacional, se le impondrán también sanciones en su carácter de persona jurídica, por ejemplo: multa, decomiso de instrumentos, objetos o productos del delito, publicación de sentencia, disolución, suspensión o prohibición de actividades, clausura de locales o establecimientos, inhabilitación temporal de contratación con el sector público, intervención judicial para salvaguardar derechos de trabajadores o acreedores y amonestación pública, entre otras sanciones, dependiendo del código penal aplicable.

Integrar un gobierno corporativo eficaz que permita e implementar un Compliance Penal basado en las mejores prácticas corporativas, permitirá el blindaje legal necesario para que las empresas, gracias a su debido control, supervisión y vigilancia organizacional, no sean responsables penalmente. El objetivo también es eliminar o disminuir los riesgos penales para proteger el prestigio y reputación de las marcas corporativas.

Limitar la responsabilidad penal de la empresa.

En los supuestos previstos en el Código Nacional de Procedimientos Penales (CNPP), que implican responsabilidad y comisión de delitos por parte de una persona jurídica, así como las sanciones, la ley establece  que dichas sanciones podrán atenuarse hasta en una cuarta parte si con anterioridad al hecho que se les imputa, las personas jurídicas contaban con un órgano o sistema de control permanente, encargado de verificar el cumplimiento de las disposiciones legales aplicables para darle seguimiento a las políticas internas de prevención delictiva.

En el Código Nacional de Procedimientos Penales se establece que:

“Artículo 421. Ejercicio de la acción penal y responsabilidad penal autónoma: Las personas jurídicas serán penalmente responsables, de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización. Lo anterior con independencia de la responsabilidad penal en que puedan incurrir sus representantes o administradores de hecho o de derecho.”

 Ante la autoridad ministerial o judicial, que el hecho que se le atribuye no sucedió por ausencia de un debido control en el interior de la organización, lo que le permitiría excluir, por atipicidad, su responsabilidad penal.

La implementación de un programa preventivo de corte penal en el seno de las organizaciones generaría las condiciones para que éstas mantuvieran el riesgo empresarial dentro de los ámbitos asumibles por el ordenamiento jurídico y con ello librar, desde un principio y a escala de tipicidad, su responsabilidad penal, toda vez que la persona jurídica estaría amparada por un riesgo permitido, quedando excluida la imputación al tipo objetivo y, por lo tanto, el injusto y el delito.

El objetivo de establecer a nivel interno un Programa de Compliance o Corporate Compliance, es prevenir la ocurrencia de riegos legales, administrativos, financieros y a nivel de operación en la estructura interna de la empresa, así como una guía preventiva para atenuar o eximir la de la responsabilidad penal de la empresa y/o sus representantes.

En este sentido, definir las principales las obligaciones que tiene la las empresa entre ellas:

1. Las de obligado cumplimiento. Que son las establecidas por las leyes, reglamentos, por las autoridades, así como los sistemas normativos establecidos en México y en su caso las establecidas en tratados internacionales.
2.  Las de cumplimiento voluntario. En esta categoría se encuentran los Códigos de ética o de buenas prácticas a los que la empresa se haya adherido comprometido. 

Prevención, detección y gestión.

Es importante elaborar un manual de políticas de prevención, detección y gestión de los riesgos que pueden derivarse del incumplimiento de los dos grupos de obligaciones señalados con anterioridad.

El conjunto de actuaciones, que han de coordinarse entre sí y planearse cuidadosamente, son:

1. Identificación: Se han de identificar los riesgos a los que se enfrenta la empresa, teniendo en cuenta su severidad e impacto y la probabilidad de que se den.
2. Prevención: Una vez identificados los riesgos, a partir de ello se pueden diseñar e implementar procedimientos de control que protejan a la empresa.
3. Monitorización y detección: La efectividad de los controles implementados debe ser supervisada, informando a la dirección de la exposición de la empresa a los riesgos, y realizando las auditorías periódicas que sean precisas
4. Resolución: Aun cuando se hayan ejecutado las políticas de prevención y cumplimiento, surja algún problema o eventualidad de cumplimiento, debe trabajarse para su solución.
5. Asesoramiento: Los directivos y trabajadores deben recibir toda la información necesaria para llevar a cabo su trabajo de acuerdo con la normativa vigente.

Fig.1 Resumen del modelo. Es acorde o los modelos actuales de Sistemas de Gestión PHVA (Las siglas del ciclo o fórmula PHVA: Planificar, Hacer Verificar y Actuar) Estos simples pasos dan como resultado un conjunto actividades que garantizan el cumplimiento con cualquier tipo de obligación, independientemente de su origen, financieros, gestión de riesgos, del medio ambiente, de seguridad y salud en el trabajo, de mercado, de seguridad de producto, cadena de suministro o comercialización.

Fig. 2 Ilustra de forma simplificada los elementos de cumplimiento locales y como cuál es su orden jerárquico.

En este sentido deben priorizarse las obligaciones de cumplimiento de tipo legal (de cumplimiento obligatorio) ya que son la base sobre la que los demás requisitos “voluntarios” deberán de desarrollarse.

Un ejemplo es la implementación del modelo de ISO 19600 soporta las actividades de cumplimiento e incentiva a la organización a revisar de manera constante estos requisitos para mantenerlos al día y anticipar cualquier cambio a través de la gestión efectiva del riesgo del cumplimiento. 

Entre los requisitos, la Norma establece que las organizaciones deben:

- Identificar, analizar y evaluar los riesgos penales.

- Disponer de recursos financieros, adecuados y suficientes para conseguir los objetivos del modelo.

- Usar procedimientos para la puesta en conocimiento de las conductas potencialmente delictivas.

- Adoptar acciones disciplinarias si se producen incumplimientos de los elementos del sistema de gestión.

- Supervisar el sistema por parte del órgano de gobierno corporativo de Compliance penal.

- Crear una cultura en la que se integren la política y el sistema de gestión de Compliance.

1. ESTRUCTURA DEL PLAN DE TRABAJO

Como ya se definió con anterioridad el Compliance Program es el conjunto de normas de carácter interno, establecidas en la empresa a iniciativa del órgano de administración, con la finalidad de implementar en ella un modelo de organización y gestión eficaz e idóneo que le permita mitigar el riesgo de la comisión de delitos, riesgos administrativos y operativos exonerar a la empresa y, en su caso, al órgano de administración, de la responsabilidad penal de los delitos cometidos por sus directivos y empleados.

A efecto de establecer un Plan de trabajo a fin de llevar a cabo las acciones necesarias para dar cumplimiento a la implementación y ejecución del Compliance Program dentro de la empresa, es necesario establecer los requisitos, así como las etapas o fases de actuación, por lo que de manera específica se delimitan los siguientes requisitos, fases y contenido del programa:

1. Requisitos

1. Estructura Orgánica de la empresa: 
2. Reglamento y normativa interna de la empresa.
3. Diagnosticó de riesgo o matrices de riesgos.
4. Protocolos de actuación y flujogramas.
5. Esquema de división de tareas por competencias.
6. Programas de capacitación y certificación del personal.
7. Procesos de denuncia internas y externas.
8. Mecanismos de supervisión y sanción.

1. Fases de implementación

1. Implementación del Compliance.
2. Formación a los empleados.
3. Acciones de vigilancia, seguimiento y control.

3.5. Contenido del Programa.

• Mapa de actividades de riesgo.
• Mapa de conductas de riesgo.
• Políticas internas
• Código de ética
• Procedimientos
• Plan de formación.
• Plan de seguimiento y control.
• Canal de denuncias internas.
• Fase de consultas.
• Catálogo de delitos.

1. Diagnósticos, áreas de mejora, seguimiento, ejecución.

1. Diagnostico institucional que contenga la detección o eliminación de riesgos.
2. Diseño de reglas mínimas.
3. Capacitación y evaluación periódica.
4. Sistema de supervisión y sanción
5. Reportes de Información.

Catalogó delitos 

Responsabilidad Penal de la Persona Jurídica y sus representantes