Enrique Mesa, investigador del grupo ERGO
Los sistemas de compliance llegan a España con la reforma del Código Penal en 2010. Dicha reforma supone que las personas jurídicas pueden ser condenadas penalmente por los delitos cometidos por sus directivos o empleados. El artículo 31 bis del Código Penal deja abierta una posibilidad a que las empresas no sean condenadas penalmente, aún cuando el delito se haya cometido, cuando la empresa pruebe que ha cumplido con el deber de supervisión, vigilancia y control. La Fiscalía General del Estado, a través de su Circular 1/2016, puntualiza que este deber se cumple con la efectiva implementación de los sistemas de compliance. Los sistemas de compliance, de acuerdo con el trabajo de Stacchezzini y otros, busca crear un marco de rendición de cuentas con el objetivo de que los empleados y directivos de una empresa tengan un comportamiento ético garantizando el cumplimiento de la ley. Sin embargo, tanto el Código Penal como la Circular de la Fiscalía General del Estado puntualizan que el sistema implementado debe ser efectivo. Es decir, no valdría con “decir” que tengo un sistema de compliance, sino que debería probar la efectividad de este.
La contabilidad juega un rol fundamental en este sentido. Michael Power, profesor de la London School of Economics y experto en auditoria y gestión de riesgos, explicaba en su libro The Audit Society como la auditoria a finales de siglo XX inició una expansión más allá de la tradicional auditoria financiera. El primer campo de expansión fue la conocida como contabilidad medioambiental, muy relacionada con la responsabilidad social corporativa (RSC) de las empresas. El rol de la auditoría se centró en verificar que la información medioambiental que las empresas divulgaban en sus informes de RSC o en sus memorias de sostenibilidad era veraz. Sin embargo, existía una diferencia entre la auditoría financiera y la auditoria de la información medioambiental, ya que, mientras en la primera el auditor proveía una opinión al respecto de la imagen fiel de las cuentas financieras de la empresa, en la segunda el auditor proveía una opinión al respecto de la ausencia de errores. La primera siguió llamándose auditoria, y la que auditoría financiera que conocemos hoy día, en cambio, la segunda pasó a denominarse “aseguramiento” (del inglés assurance). Entendemos por aseguramiento la revisión de información o sistemas por parte de un auditor externo de acuerdo con un estándar de aseguramiento, una norma que indica al auditor cómo debe proveer su opinión favorable.
La expansión de la auditoria, ya como aseguramiento, siguió su expansión a principios del siglo XXI. En 2002, EEUU publicó la Sarbanes-Oxley (SOX), con el objetivo que las empresas implementaran sistemas de control interno para evitar nuevos escándalos como el conocido caso ENROM. La SOX también exigía a todas las empresas que operasen en EEUU que emitieran un informe sobre el diseño y funcionamiento de dicho sistema de control interno y que este informe fuera revisado (asegurado) por un auditor externo. Esto supuso la expansión de la auditoria a la verificación del correcto funcionamiento de los sistemas de control interno. En este artículo buscamos plantear el debate sobre lo apropiado de asegurar los actuales sistemas de compliance o, si por el contrario, bastaría con su certificación.
En la asignatura “Técnicas de valoración de empresas, confección de planes de viabilidad y aseguramiento” del Máster de Auditoria de Cuentas y Contabilidad Avanzada de la Universidad de Burgos explicamos a lo largo de diferentes temas la diferencia entre certificación y aseguramiento. La certificación consiste en comprobar que un sistema o un informe cumple con los requisitos establecidos en una norma o estándar de certificación. Estás normas o estándares contienen los requisitos que debe cumplir, por ejemplo, un sistema de compliance. La Asociación Española de Normalización y Certificación ha publicado diversas normas para certificar la correcta implementación de los sistemas de compliance: la UNE 19600, de sistemas de gestión de compliance; la UNE 19601, de prevención de delitos en organizaciones; o la UNE 37001, de gestión antisoborno. Estas normas no se limitan a España, sino que la International Organization of Standardization (ISO) también está elaborando su norma al respecto, la ISO 37301 de sistemas de compliance (del inglés Compliance Management Systems).
Sin embargo, la certificación tiene unas características que hace que nos preguntemos si son la herramienta adecuada para comprobar la efectividad de los sistemas de compliance, tal y como requiere el Código Penal. El artículo 31 bis, apartado 5 establece que las organizaciones deberán realizar “una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios”. La cuestión que nos resulta más interesante para saber si es más apropiado certificar o asegurar los sistemas de compliance lo encontramos en el término “periódico”. La pregunta sería ¿qué periodicidad consideramos necesaria para entender que un sistema de compliance es efectivo?
La obtención de un certificado, como puede ser la ISO 19601, establece que a la fecha de la obtención el sistema de compliance cumplía con los requisitos de dicha norma y por tanto, podría entenderse que era efectivo. Sin embargo, el certificado no garantiza la vigencia del mismo más allá de la fecha de certificación. Por otro lado, el aseguramiento es un proceso continuo que cuenta con la participación del auditor y que permite asegurar que no existe evidencia para dudar al respecto de la efectividad del sistema de compliance a lo largo del periodo de tiempo en el que se realizan las diversas comprobaciones. La periodicidad del aseguramiento garantizaría la vigencia del sistema, ya que el aseguramiento, como práctica exige de controles aleatorios en diferentes momentos temporales (Ver las normas de aseguramiento ISAE 3000 o AA1000AS). Sin embargo, el coste de asegurar un sistema de compliance es mucho mayor al de certificarlo y puede hacer inviable su práctica en empresas de menor tamaño.
El Código Penal determina que cualquier empresa, ONG, partido político, fundación u organización ajena a la administración del Estado puede ser sujeto de responsabilidad penal. Es por ello por lo que la pregunta que da título a este artículo debe responderse de forma condicional. Si la organización es de gran tamaño, dispone de recursos y quiere realmente implementar un sistema de compliance debería recurrir al aseguramiento como mecanismo para verificar la efectividad de su sistema. Sin embargo, si la empresa es de menor tamaño podría recurrir a la certificación adhiriéndose al artículo 31 bis, apartado tercero, por el cual se permite a organizaciones de pequeñas dimensiones disponer de un sistema de compliance más modesto. Y es que la Sentencia del Tribunal Supremo 192/2019 de 9 de abril de 2019, recalca la importancia del sistema de compliance, no ya como herramienta para evitar la potencial responsabilidad de la persona jurídica, sino como la herramienta que permita crear una cultura ética de cumplimiento dentro de las organizaciones. Por tanto, cada organización, dentro de sus posibilidades o recursos, podrá certificar o asegurar su sistema de compliance, pero si no creen en ello, es decir, no tienen interiorizada una cultura de cumplimiento, de poco servirá.
Enlaces de interés
Circular 1/2016 Fiscalía General del Estado. https://www.boe.es/buscar/doc.php?id=FIS-C-2016-00001
Código Penal. https://www.boe.es/buscar/act.php?id=BOE-A-1995-25444
Stacchezzini et al. (2020). https://www.emerald.com/insight/content/doi/10.1108/AAAJ-08-2016-2685/full/html
Power 1997 – The Audit Society
Sentencia Tribunal Supremo 192/2019. https://app.vlex.com/#vid/779312221
Comentarios recientes