domingo, 13 de marzo de 2016

JORNADA PERITAJE EN COMPLIANCE PENAL : LECCIONES APRENDIDAS

LECCIONES APRENDIDAS EN LA JORNADA SOBRE COMPLIANCE PENAL El pasado 4 de marzo celebramos en la sede del Centre d´Estudis Jurídics de la Generalitat de Catalunya la jornada NOVEDADES SOBRE EL PERITAJE EN COMPLIANCE PENAL. La jornada fue organizada por la Asociación de Probática y Derecho Probatorio, y por la Associació Catalana de Perits Judicial. GNL COMPLIANCE patrocinó el acto. Los ponentes del acto fueron el abogado penalista Sr. Cristobal Martell, el Magistrado de la Sala 2ª de lo penal del Tribunal Supremo Sr. José Manuel Maza Martín, y el que escribe estas líneas, Enrique de Madrid – Dávila. El asunto nuclear fue la probática y prueba de la Compliance Penal, a tenor del artículo 31 bis del Código Penal. Obviamente el tema de debate estaba enmarcado con la Circular 1/2016 de la Fiscalía General del Estado y por la sentencia del Tribunal Supremo 150/2016 relativa a la condena de una Persona Jurídica, cuyo ponente ha sido el propio Sr. Maza. En las siguientes líneas expondré las líneas maestras de mi argumentación en el acto : 1. LA PALABRA COMPLIANCE NO APARECE EN EL CÓDIGO PENAL : TODA INTERPRETACIÓN ES INTERESADA En ninguna parte del Código Penal aparece la palabra compliance. Por tanto cualquier interpretación es interesada o instrumentalizada. En ausencia de una definición clara en un código de reglas jurídico, tiene tantas interpretaciones como opiniones existan. La ceremonia de la confusión está servida. En mi opinión se confunde el concepto de “cumplimiento” en su interpretación de “velar por cumplir las reglas del Derecho para prevenir un riesgo que afecta a la sociedad” con “el derecho a la tutela efectiva de la leyes” del riesgo de ser acusado de incumplirlas (por parte de la persona jurídica) : la carga de la prueba, las contradicciones procesales, etc… El concepto “Plan de Prevención Riesgos Penales” es el máximo exponente de confusión que mezcla ambos conceptos de riesgo. No aclara sino despista. La confusión que provoca la palabra “riesgo” es monumental. 2. LA “COMPLIANCE PENAL” ES UN PROBLEMA METAJURÍDICO Según Ulrich Sieber, director del Instituto Max Planck para el Derecho Penal Extranjero e Internacional de Friburgo, los programas de compliance para la prevención de la criminalidad son “Medidas extrajurídicas efectivas de autoprotección técnicas para la prevención de la criminalidad”. Personalmente creo que es un problema más bien metajurídico. Las áreas de conocimiento involucradas para la “interpretación y gestión de los hechos” que emergen en lo que llamamos” Compliance penal” son muchísimas : Criminología, Security, Risk Management, Economía, Administración de Empresas, Informática, Ingeniería, Investigación de Delitos, Derecho……hasta incluso Ciencias Medioambientales en caso de los delitos pertinentes. Según la teoría probática de Luis Muñoz Sabaté -presente en la jornada pero que no intervino oralmente en las discusiones-, el hecho es un fenómeno “extrajurídico” a ser interpretado por una infinidad de disciplinas científicas. El derecho probatorio después, admite o no si el hecho “tiene entrada” en el proceso judicial. Pero el derecho no es la lente de la teoría de conocimiento que puede saber si la tierra da vueltas alrededor del sol o viceversa. En mi opinión el área de conocimiento nuclear es el Security & Risk Management tal y como argumento en líneas posteriores. 3. LA VOLUNTAD DE CUMPLIMIENTO NO SE PUEDE PROBAR, SÓLO INTERPRETAR Un hecho por sí mismo no es nada sin una teoría de referencia para valorarlo, así como dar dinero a los pobres no es signo de ser buena persona. Puede ser explicado como un lavado de imagen para conseguir credibilidad para el lucro en un ambiente social, empresarial o político. Y quien lo dé sea el mafioso, político, empresario o el criminal más inhumano del planeta. De hecho el rasgo más característico de los criminales de cuello blanco es que eran, son y serán considerados personas revestidas a la más alta “honorabilidad” social en el momento de cometer su crimen. Tenemos innumerables casos en España y en extranjero. Populismo y engaño para el poder. Es decir, los hechos se pueden probar, pero la voluntad y la intención real subyacente detrás todavía no. Esta sólo se puede interpretar. Según Luis Muñoz Sabaté, padre de la probática y psicólogo clínico, la voluntad en términos científicos todavía tiene graves problemas para poder “probarse” en la propia “arena científica” de la psicología. No es posible hablar de la prueba de la voluntad psíquica todavía, sino del miedo al castigo o el incentivo de la recompensa. O palo o zanahoria. Pero parece que la “voluntad” todavía no se puede probar. Bien, pues la reciente sentencia del Tribunal Supremo parece indicar que el objeto de prueba principal de la “Compliance Penal” es la …. “voluntad seria de reforzar la virtualidad de la norma” como cuestión nuclear, “independientemente de aquellos requisitos, más concretados legalmente en forma de las denominadas “compliances” o “modelos de cumplimiento”. Y.. “Evidenciar la cultura corporativa del respeto al derecho”. Este concepto se repite al menos 16 veces en la sentencia. Por otro lado muchos autores hablan de la “persona jurídica” como una ficción jurídica. ¿Son realmente sus “actos” y “decisiones” fruto de lo que podríamos llamar “conciencia colectiva de la empresa x” o fruto de su, al final del día, solitario e influyente último decisor llamado administrador o presidente del consejo de administración? Los actos de la persona jurídica son el resultado de la negociación entre muchísimas personas con distintos niveles de influencia y de poder. Si ya parece difícil poder probar la voluntad de un sujeto, imaginemos interpretar y “probar” la voluntad “social” corporativa. En mi opinión estamos en medio del abismo en esta cuestión. Ante las dificultades de la “prueba” de la voluntad, sólo nos queda analizar cuáles son las “teorías” de referencia o “teorías de la interpretación” de los hechos, que nos parezcan más plausibles. En las próximas líneas argumento en mi opinión las “teorías” de referencia o de interpretación que entiendo más apropiadas. 4. LA PRUEBA DE LA “ÉTICA EMPRESARIAL” ES UN MITO La Circular de la Fiscalía enfatiza la prueba de la difusión de la ética empresarial, en los consejos de administración de las organizaciones y entre sus empleados, como una prueba de cumplimiento. Uy, en mi opinión graves problemas. Primero es muy discutible que el Código Penal pida y obligue a las organizaciones a una ética. En palabras del sociólogo Zygmun Bauman la ética no puede ser exigida a nadie sino que sólo la propia persona puede auto-exigírsese a sí misma. Sino no es ética, es imposición de unas reglas que se cumplen por miedo al castigo. El código ético de las organizaciones en definitiva es un código de reglas que se cumplen por miedo al castigo. De hecho en el 31 bis se habla de “Código Sancionador” de acciones de incumplimiento. Esto de ética no tiene nada. Reglas a sancionar puras y duras. Y además, se lanza al viento el concepto de “ética empresarial” como si esta estuviese clara. Nada más lejos de la realidad. Existen en organizaciones políticas de cumplimiento éticas como que los empleados no pueden tener relaciones personales e íntimas entre ellos. ¿Es ético entrar en dominar el espacio más íntimo de las personas? No lo sé, no creo. Pero ¿es legal? Podemos entrar en un bucle en el que para la “prueba del cumplimiento” se exija un código ético contrario a la ley. Surrealismo. Sin duda, en mi opinión, queda más acertada la expresión del Tribunal Supremo “evidenciar la cultura corporativa de respeto al derecho”, en la que se entiende que el Derecho es lo máximo exigible a la persona física y jurídica. La ética es un campo de minas : cualquier camino que tomes es pedregado. 5. LA PRUEBA DE LA COMPLIANCE PENAL ES ANTE TODO LA PRUEBA DE LA ADMINISTRACIÓN DILIGENTE, LEAL Y COMPROMETIDA DE LA PERSONA JURÍDICA EN MATERIA DE GESTIÓN GLOBAL DE RIESGOS La Fiscalía en su Circular advierte que si la persona jurídica tiene antecedentes de problemas legales tales como delitos “personales” de directivos, sanciones, impagos a la Seguridad Social, y otros…. de otra índole diferente o más allá a los delitos enumerados en el artículo 31 bis, esto será indicio de que, en mi opinión, no existe una administración leal y diligente completa de la misma. Es decir, entiende como prueba “superior” o “precedente” de la que se inferirán las consiguientes, la gestión 360 grados de todas las áreas de riesgos de la misma. Esto realmente enlaza con la prueba de la RESPONSABILIDAD SOCIAL CORPORATIVA, ocupada en la preocupación de la persona jurídica en su impacto en la sociedad : derechos humanos, medio ambiente, colaboración en la seguridad ciudadana, etc… Ergo la Administración del Estado a través de la Fiscalía entiende como prueba “suprema” la de la administración diligente, leal y comprometida de la persona jurídica. En lenguaje llano significa que un simple modelo o plan de prevención de delitos inconexo con una prueba de gestión de riesgos 360 grados será insuficiente. En la jornada el Magistrado Sr. Maza abordó la cuestión en relación con las Pymes que no pueden costearse una consultoría en Compliance penal. Se refirió a que aunque no tuviesen un “plan de prevención” podrían defender su posición demostrando preocupación y acciones viables proporcionadas. Yo lo entiendo como mínimo como un informe y plan suficiente de control en líneas maestras de prevención, integrado en las actividades de riesgo a 360 grados de la empresa, tales como riesgos laborales, protección de datos y otros. Ahora bien, a su vez, la resistencia de la persona jurídica a una gestión 360 grados del riesgo y la “aparición” sorpresa de un muy detallado plan de “Compliance Penal” para afrontar su procesamiento judicial será contraproducente, según parece. Esto es debido porque prueba con excesiva fuerza “el derecho a la tutela efectiva de la leyes” ante el riesgo de ser acusado de incumplirlas en contraposición de “velar por cumplir las reglas del Derecho para prevenir un riesgo que afecta a la sociedad”. Mezclar riesgos dentro del concepto de “Prevención de Riesgos Penales” es tirarse un tiro en los pies. En conclusión, lo más importante es probar “la administración diligente, leal y comprometida de la persona jurídica en materia de gestión global de riesgos”. Bienvenidos al siglo XXI. 6. LA PRUEBA DE LA COMPLIANCE PENAL ES LA PRUEBA DE LA IMPLANTACIÓN DE UNA FUNCIÓN PÚBLICA DE “LAW ENFORCEMENT & SECURITY” DENTRO DE UNA ORGANIZACIÓN PRIVADA O DE INTERESES PROPIOS El artículo 31 bis del Código Penal ha introducido sin avisar a las personas jurídicas en la Seguridad Pública como línea de choque contra la criminalidad, a través de la prevención e investigación de delitos. Siendo la llamada “Compliance Penal” una función pública dentro de una organización privada, nace la discusión sobre qué garantías existen de que el interés privado no prevalecerá sobre el público. Es una de las cuestiones principales en la Circular de la Fiscalía. Pues bien, la Ley Orgánica 5/2015 de Seguridad Privada es el marco legal más lógico de control de una función semi-pública de seguridad. Ésta entiende en su preámbulo que : “Los Estados, al establecer el modelo legal de seguridad privada, lo perfilan como la forma en la que los agentes privados contribuyen a la minoración de posibles riesgos asociados a su actividad industrial o mercantil” (….) “En esta óptica, la existencia de la seguridad privada se configura como una medida de anticipación y prevención frente a posibles riesgos, peligros o delitos.” (…..) “La seguridad, entendida como pilar básico de la convivencia ejercida en régimen de monopolio por el poder público del Estado, tanto en su vertiente preventiva como investigadora, encuentra en la realización de actividades de seguridad por otras instancias sociales o agentes privados una oportunidad para verse reforzada” (….) “A partir de ahí, se establece un conjunto de controles e intervenciones administrativas que condicionan el ejercicio de las actividades de seguridad por los particulares. Ello significa que las Fuerzas y Cuerpos de Seguridad han de estar permanentemente presentes en el desarrollo de las actividades privadas de seguridad, conociendo la información trascendente para la seguridad pública que en las mismas se genera y actuando con protagonismo indiscutible, siempre que tales actividades detecten el acaecimiento de hechos delictivos o que puedan afectar a la seguridad ciudadana. Por tanto, que el “Compliance Officer” y su función estén adscritas al marco de la dirección de seguridad privada, concretada en la ley, deberían ofrecer garantías especiales de cumplimiento de la misma, al existir operadores públicos de seguridad controladores de la función. Este hecho apoyaría la interpretación de la “concreción de la voluntad” de la persona jurídica en el cumplimiento. Recordemos que la Fiscalía interpreta como buena voluntad que la persona jurídica denuncie, con sus pruebas correspondientes, al delincuente corporativo mientras se comete el delito antes de que éste no sea conocido por otras vías. Pues debería ser más feliz si se “prueba” que este proceso se realiza bajo la supervisión y coordinación de los Cuerpos y Fuerzas de Seguridad del Estado. Y un punto cualitativo importante a añadir al concepto de “certificación del modelo de prevención penal”. En síntesis, la ley de Seguridad Privada regula quienes son los agentes privados propios de la persona jurídica, o contratados en arrendamiento de servicios, para llevar a cabo la gestión y la investigación en la prevención de “riesgos” de la comisión de delitos. Existen incluso “sujetos obligados” a tener un departamento de seguridad propio que tengan al mando un director de seguridad habilitado legalmente. Para esta habilitación es preceptivo la expedición de una tarjeta de identificación profesional tras certificar una formación específica en sus cursos homologados correspondientes. Y para llevar a cabo actividades de investigación de hechos privados en el ámbito personal, empresarial y económico, más la aportación de pruebas, se identifica al detective privado, certificado por sus cursos correspondientes homologados, como el operador único y exclusivo. Y estos operadores deben ser supervisados por las autoridades de seguridad pública porque (1) su actividad está cerca del conocimiento de delitos que pueden afectar a la seguridad ciudadana e incluso la seguridad nacional (piénsese en la ley de blanqueo de capitales y financiación del terrorismo), y (2) es preceptivo que los derechos y deberes fundamentales de los ciudadanos se protejan de prácticas ilegales en aras de la gestión de la seguridad y la investigación privada. Esto es la protección de la intimidad, el secreto de las comunicaciones, los derechos laborales, etc… En definitiva tener cura de las garantías jurídicas para que los derechos fundamentales de los ciudadanos queden intactos en actividades tales como interrogaciones de trabajadores, interceptación de comunicaciones y correos electrónicos a empleados, vigilancias físicas y seguimientos a directivos corruptos, etc… Bien, pues el artículo 31 bis parece que “obliga” a la persona jurídica a gestionar riesgos, controlar e investigar empleados. Una función pública de seguridad dentro de una organización privada y/o de intereses propios. ¿Alguien ha tomado nota de esto? Una legión de “compliance officers” y de empresas de soporte (investigadoras de fraude, consultoras, abogados, ingenieros, informáticos…..) han salido en tromba, obligados desde la entrada de la Responsabilidad Penal de las Personas Jurídicas en el Código Penal, a “cazar” criminales. Y por lo que parece sin ningún control ni reporte de coordinación con las Fuerzas de Seguridad del Estado, y sin ninguna habilitación, experiencia o formación reglada. ¿Alguien no ha tenido en consideración que la investigación del tráfico de drogas (caso que expone textualmente la reciente Circular de la Fiscalía 1/2016) no es un tema menor, tiene importantes riesgos y problemas de garantías en su investigación, y puede colisionar con investigaciones paralelas de los Cuerpos Y Fuerzas de Seguridad del Estado? ¿Nadie ha caído en cuenta de que la sentencia de la que el Sr. Maza es ponente es relativa a una persona jurídica dedicada al tráfico internacional de drogas? Me gustaría saber en qué cabeza cabe que un “Compliance Officer” pueda afrontar este reto en solitario. Personalmente pienso que es un delirio llevar al “frente de batalla” a un abogado “escudado” sólo por el grosor físico del Código Penal. Más bien creo que es el “plomo” que le va a arrastrar al fondo del mar. No puedo concluir que alcance de colisiones existen entre estos marcos jurídicos, pero si puedo asegurar que este es un “territorio comanche”. Y como experto en gestión de riesgos recomiendo mucha prudencia. Llevar a cabo los ejercicios de control obligados por el 31 bis tiene el riesgo de invadir las competencias de la Ley Orgánica 5/2015 de Seguridad Privada, lo que llevaría a la incongruencia de gestionar la Compliance Penal INCUMPLIENDO la ley. Y un canal de denuncias, por ejemplo externo, es una “oficina de denuncias” de actividades delictivas privado. Al símil de la oficina de denuncias de la policía. Dinamita en términos de garantías jurídicas y su relación con la seguridad pública. Por otro lado podemos observar que diversas empresas engloban todo el concepto de gestión de riesgos en los departamentos de CORPORATE SECURITY & COMPLIANCE. Si tecleamos la cadena de texto CORPORATE SECURITY & COMPLIANCE en google localizaremos innumerables ejemplos de empresas en España y en el extranjero que han adoptado este modelo : Schaeffler, GYD, Great Canadian Gaming Corporation, BNP PARIBAS, British Columbia, etc…… 7. LOS EJERCICIOS TÉCNICOS QUE PIDE EL ARTÍCULO 31 BIS SON LA IMPLANTACIÓN EFICAZ, EN EL PLANO DE LOS HECHOS, DE UN PLAN DE PREVENCIÓN DE DELITOS EN LA ORGANIZACIÓN. El artículo 31 bis identifica diversas actividades de una gestión de riesgos, que implantadas en la persona jurídica, se podrán interpretar como atenuantes y eximentes de su responsabilidad. Los modelos pueden ser varios. El que yo propongo es la realización escrita y después implantada en el “plano de los hechos” de : 1. Análisis para la predicción de escenarios de comisión de delitos. 2. Código Ético. 3. Código sancionador de incumplimientos. 4. Protocolos de prevención, investigación y detección de delitos. 5. Implantación de una función de riesgos a través de su estructura de responsabilidades propia. En su caso, materializable en un departamento de riesgos con medios y presupuesto proporcional al nivel de riesgo de la empresa. 6. Implantación de canales de denuncia (informáticos, telefónicos, postales, e incluso orales). Cada uno de estos ejercicios es un mundo entero. En cualquiera de los casos, estos ejercicios deben constituir la prueba de la Implantación eficaz de un plan de prevención de delitos. 7. LA METODOLOGÍA DE ANÁLISIS DE RIESGOS PENALES PROBABILÍSTICA ES ERRÓNEA Para las actividades del punto del artículo 31 bis del CP que pide que se “1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”, el mercado y los expertos han denominado esta actividad como “mapa de riesgos penales”. Y para realizar este “análisis de riesgos” se ha extendido el axioma de que éste se realiza a través de la fórmula R = Probabilidad x Impacto. Es decir, la ocurrencia de riesgos (se supone penales) es igual a la probabilidad de ocurrencia de un evento negativo (¿delito?) en relación a su gravedad (Impacto). Esto abre también la inquietante pregunta de si el experto nuclear de la “Compliance Penal” es el ingeniero. Esta fórmula proviene en su base del axioma del “juego de apuestas”, que evolucionado se utiliza en la ingeniería, en el mundo del seguro, en el mundo de los negocios y en el mundo de la gestión de riesgos provocados por la acción de la naturaleza o en el contexto de la accidentalidad (seguridad vial, riesgos laborales, etc…). Desafortunadamente esta metodología es insuficiente y ha sido evaluada como “inconsistente” por estudios científicos, cuando es aplicada en aquellos contextos de las cosas en que existe un oponente, un adversario, un criminal, un antagonista, o llámenle cómo quieran. Las críticas son las siguientes : - El índice de probabilidad está basado en la frecuencia de eventos que hayan sido “exactos” en el pasado. Por un lado dos eventos “exactos e iguales” (mismas condiciones sociales, psicológicas, sociológicas, económicas, personales, culturales, geográficas, situacionales, legales, etc…) son prácticamente imposibles. - Que un evento no haya pasado anteriormente no es prueba de que no ocurrirá en el futuro. Un evento “exacto” como el ataque terrorista del 11 de septiembre nunca había ocurrido en el pasado. Por tanto, utilizando la fórmula, su predicción era 0. 0 multiplicado por lo que sea, necesario da 0. La probabilidad por tanto era de baja a imposible. Esto ocurre porque en presencia de un antagonista/criminal/amenaza, éste evoluciona su modus operandi y lo amolda al sistema de seguridad y control para superarlo. Nace un modus operandi nuevo, no conocido en el pasado. - Si se estima el índice de probabilidad entonces sobre cálculos de la probabilidad de futuro, es decir, se le asigna un índice de ocurrencia a futuro, es la “probática de la bola de cristal” ¿Cómo aplicar un valor numérico de ocurrencia a algo que nunca ha sido medido? Esto rompe la lógica de la fórmula de índice de riesgos como estadística de eventos conocidos del pasado para inferir el futuro. - Al final del día los valores numéricos a aplicar a la fórmula son subjetivos, y las evidencias científicas demuestran que la valoración de riesgos humana es muy imprecisa, sobrevalorando los menos probables e infravalorando los más probables. Ejemplo de ello es el estudio del Instituto Max Planck sobre el atentado del 11 de septiembre. Durante el año posterior los norteamericanos dejaron de volar en avión porque lo percibían como muy inseguro. Esto provocó un aumento de desplazamientos en coche, provocando que la estadísticas de accidentes mortales ascendiera a 500 víctimas más que el año anterior. Ir en coche era más inseguro que ir en avión cuando la percepción de riesgo era la contraria. - La fórmula, en relación al concepto de impacto, es imprecisa. No es lo mismo daño que impacto. Un mismo daño tiene diferentes impactos en personas diferentes. Si me roban 10 euros al rico produce un impacto, mientras que si roban 10 euros al pobre produce otro. Por tanto el índice de impacto es subjetivo. Sin una explicación de una metodología precisa de la evaluación del impacto, su valor a colocar en la fórmula es irrelevante o inventada. Otra inconsistencia nace de aplicar valores numéricos y porcentuales a un “objeto de protección” no cuantificable sino solo cualificable : ¿en caso de proteger la vida, cómo una persona está muerta un 56,754 %? 8. LA METODOLOGÍA APT DE RISK & SECURITY MANAGEMENT ES HASTA EL MOMENTO LA MÁS ADECUADA En espera de investigaciones científicas más profundas, la única metodología científica que he localizado para aplicar es la siguiente : - METODOLOGÍA APT, GIOVANNI MANUNTA, Doctor en Filosofía de la Security por la Leicester University, Presidente del Security & Risk Studies Institute, Director del Msc INTERNATIONAL CORPORATE SECURITY COURSE, Royal Military College Of Science, Cranfield University, Inglaterra. 9. REFLEXIONES SOBRE LA PRUEBA DE LAS “CERTIFICACIONES” Y/O “ESTÁNDARES” La Fiscalía en su circular enuncia que si ha tenido lugar el delito, es evidencia de que el programa de prevención de delitos ha sido ineficaz, y por tanto era insuficiente o cosmética. Y que las “certificaciones” (tipo ISO, UNE, etc…) no serán un “seguro” para tapar las ineficiencias del sistema de prevención. Por otro lado el Sr Maza, en la propia conferencia del día 4 de marzo, argumentó que las certificaciones son un medio de la “psicología jurídica” para influir en el juzgador para provocarle un estado mental más propenso al atenuante o la eximente. De nuevo observo aquí la confusión entre “velar por cumplir las reglas del Derecho para prevenir un riesgo que afecta a la sociedad” con “el Derecho a la tutela efectiva de la leyes” del riesgo de ser acusado de incumplirlas (por parte de la persona jurídica), que resalté en la sección número 1 del presente escrito. La pregunta del millón, en mi opinión, es si ¿las certificaciones tienden a prevenir objetiva y científicamente riesgos de la comisión de delitos? En mi opinión son importantes e influyentes marcos, pero que son insuficientes. No dependen de sí mismas, sino también del “expertise” de quien las aplica. Existe la ISO 31000 relativa a la implantación de un estándar de Risk Management en las empresas, y la 19600 sobre Compliance, y muchos otros estándares. Sin embargo, en mi opinión, dichas ISO’s y estándares no aportan una gran solución al concepto de metodología, en cuanto que cada campo de conocimiento define riesgo a su manera y tiene su propia metodología. Por ejemplo, la norma 31.000 alude a diversas metodologías de análisis como hacer cuestionarios, brainstormings, diagramas de flujo, y utilizar técnicas HAZOP/FMA (propias de la ingeniería) o las SWOT/PESTLE (propias del management empresarial). Pues bien, sin conocimientos sobre Security y Crime prevention, en mi opinión, su uso dista mucho de proporcionar resultados. La pregunta del millón es si ¿un experto en compliance debe ser, o no, experto también de los campos de conocimientos que soportan las metodologías con las que se diseñan los procedimientos y protocolos de aplicación? Y por tanto, ¿se le debe demandar ,para poder ser aceptado como experto, la experiencia/titulación sobre los mismos? En el campo de la compliance existe también un área de aplicación que no es siempre específicamente demandada por la ley como puede ser la aplicación de las certificaciones ISO sobre diversas materias como la calidad, los procesos o la gestión de seguridad los sistemas de información. Muchas empresas y consultores en esta materia de certificación no son expertos de las áreas de conocimiento sobre las que se aplica la compliance, pero la realizan. Por último, el nivel de análisis también es de suma importancia. La aplicación de compliance en Responsabilidad Penal de las Personas Jurídicas, debe ser llevada a cabo a través de una cascada de ejercicios de management, desde el nivel estratégico hasta el nivel operativo. Conocimientos técnicos sobre, por ejemplo, medidas de seguridad informática, no habilitan siempre para comprender la implementación de medidas estratégicas. Una cosa es el general y otra el artillero. Se preocupan de problemas diferentes e interpretan el mundo de forma diferente. En conclusión a este punto diré que cualquier ISO o ESTANDAR que no baje a la operacionalización de las vulnerabilidades del sistema de prevención de delitos, es del todo insuficiente. Un plan de prevención de delitos es el relato de cómo se tapan las vulnerabilidades de la organización en confronte al “modus operandi” del delincuente. Si no existe una identificación y análisis detallada de las vulnerabilidades tanto técnicas como tácticas, es entonces imposible e inconsistente probar que las medidas de prevención son eficaces. Si mis alumnos en la universidad no identifican y detallan vulnerabilidades en sus ejercicios prácticos, pues los suspendo. En el campo de la Compliance Penal se juegan la condena penal. El suspenso sale bastante más caro. 10. ¿CÓMO EVALUAR AL EXPERTO? Este es otro interesante asunto. La Fiscalía identifica la existencia del delito como la prueba de que el plan de prevención penal era insuficiente. Vemos en las noticias actualmente como “Compliance Officers”, en EEUU, Inglaterra, Alemania…. son condenados y tienen importantes problemas legales por su gestión del programa de prevención de delitos en las empresas. Incluso existe algún caso en que ni siquiera tuvo lugar el delito, es decir, se valoró ex ante su “expertise”. Pero creo evidente que siempre que se muera el paciente en la mesa de operaciones no es responsabilidad total del cirujano, o que cuando el patrocinado es condenado no es siempre responsabilidad total de su abogado. El experto debe ser evaluado por la aplicación de la mejor “praxis” profesional existente en el momento de su valoración, obviamente alineado con la legalidad. Es decir, por la aplicación de las mejores prácticas científicas/profesionales de análisis, diagnóstico y tratamiento de un problema profesional. En ausencia de una convención sobre las mismas nos encontramos en “territorio comanche”. Cualquiera tiene razón en función de su influencia, independientemente de que si lo que dice es cierto o no. Esto deja al “Compliance Officer” en una posición impresionantemente débil, abandonado a los vientos de la diosa fortuna. Gestionar riesgos tiene sus propios riesgos. Decía el tratadista Chino Sun Tzu que no le gustaban como ayudantes a generales dispuestos indistintamente a vivir o morir por ganar una batalla, sino a estrategas que afrontasen peligros con una estrategia. Como gestor de riesgos obviamente recomiendo afrontar la situación con una estrategia, basada en armarse del mejor conocimiento reconocido científica y judicialmente, y entonces refrendado después por ISO’s y estándares. Independientemente, es preceptivo que se llamen al debate de varas de medir científicas, ISO´s y estándares, a expertos en Security y Crime Prevention Corporativo. De otra forma la mesa estará coja. CONCLUSIONES : LAS MEJORES FORMAS DE EVALUCIÓN Y PRUEBA DE LA “VOLUNTAD” DE CUMPLIMIENTO EN COMPLIANCE PENAL Como conclusión creo que lo más importante es que tengan lugar los hechos concernientes a la administración diligente y leal de la persona jurídica en materia de gestión de riesgos, para después probarlos. La prueba de la responsabilidad Social Corporativa es nuclear aquí. Pero su prueba es discutible en ausencia de una “teoría de interpretación”. En mi opinión los hechos más indudables son aquellos ocurridos en la Implantación Eficaz de un Plan de Prevención de Delitos que ocurran en el marco de un control del control, transparencia y “rendición de cuentas” (accountability). Estos son : - Adherirse a la inspección pública obligada o a aquellas voluntarias (Administración de Seguridad del Estado), y a convenios de información / formación / de relación con Cuerpos de Gubernativos de Seguridad, o Fuerzas y Cuerpos de Seguridad del Estado. - Contratar servicios externos de actividades de investigación y control a operadores reconocidos en la Ley de Seguridad Privada, controlados también por la administración del Estado. Estos son Directores de Seguridad y Detectives Privados. - Existencia de un canal de denuncias externalizado a operadores/empresas externas, en cuanto que será más difícil tapar un delito con terceros externos que en el propio seno de la persona jurídica. Si el receptor de la denuncia está sujeto a la Ley de la Seguridad privada, pues mejor que mejor. - Triangulación de consultores externos : la existencia de diversos consultores de compliance para diversas áreas de compliance en la persona jurídica, en competencia en el mercado, hace más difícil la alianza de “tapar delitos”. Sin embargo esto es sólo aplicable a grandes organizaciones que tengan posibilidades económicas para pagarlos.

jueves, 18 de febrero de 2016

JORNADA PERITAJE EN COMPLIANCE PENAL - 4 DE MARZO DE 2016 EN BARCELONA

El próximo viernes 4 de marzo de 2016 se celebrará en la sede del CENTRE D'ESTUDIS JURIDICS DE LA GENERALITAT DE CATALUNYA la jornada NOVEDADES SOBRE EL PERITAJE EN COMPLIANCE PENAL. En dicha jornada se profundizará sobre la medición, peritaje y prueba de PLANES DE PREVENCIÓN DE DELITOS. Más información en los dípticos anexos.

lunes, 8 de febrero de 2016

INTERNATIONAL COMPLIANCE ASSOCIATION

INTERNATIONAL COMPLIANCE ASSOCIATION (ICA) : el próximo 10 de febrero en Barcelona será un placer pronunciar unas palabras en la sesión informativa de presentación del CURSO AVANZADO EN CUMPLIMIENTO NORMATIVO de la ICA. Podéis encontrar más información en : http://www.int-comp.org/landing-pages/certificado-avanzado-en-cumplimiento-normativo/