17 de julio 2020 / Cumplimiento / por Samuel Rivero
I. Introducción
El renovado enfoque en la lucha contra la corrupción y en leyes y regulaciones de cumplimiento, ha puesto un énfasis aún mayor sobre la importancia de construir y mantener un programa de cumplimiento efectivo dentro de cualquier empresa. No hay una estructura específica o ejemplo de programa que se pueda definir como el perfecto para toda empresa.
Las responsabilidades a las cuales puede ser acreedor una empresa son diversas. En muchas ocasiones se tiene la idea que la responsabilidad es única de la materia penal, sin embargo, existen otro tipo de responsabilidades independientes entre ellas, por lo que conocer, prevenir y mitigar las malas conductas de la empresa es un tema que nunca se puede dejar de lado, por lo que debemos generar instrumentos que nos ayuden a mitigar las malas conductas dentro de la empresa.
Es por ello, que debemos de tener políticas encaminadas a este tema. Cualquier programa tendría que corresponder a las áreas de riesgo de la compañía, su tamaño, recursos, segmento de la industria, ubicaciones comerciales, etc.
A continuación, se presentan dos de las responsabilidades que una empresa puede llegar a ser acreedor de sanciones y una guía general para la implementación efectiva de un programa en las empresas para mitigar y prevenir estas conductas:
II. La Corrupción en México
La corrupción en México se ha ido incrementando a lo largo de estos años, tanto en el sector público, como en el sector privado, de hecho, en la mayoría de las ocasiones estos dos sectores tienen relación en los actos de corrupción. De acuerdo con la Asociación Mexicana de Profesionales de Ética y Cumplimiento, la corrupción en las empresas representa la pérdida del 9% del PIB, por lo que es un gran impacto a la economía del país y un problema que debe ser atendido de forma particular.
En México si bien existe una Secretaría de Estado para el combate a la corrupción como lo es la Secretaría de la Función Pública, también es cierto, que ella se encuentra enfocada al ámbito público, es decir, actos de corrupción cometidos por funcionarios públicos, y esta solo conoce del sector privado cuando una persona ajena a la administración pública tiene relación con algún acto de corrupción donde exista relación con algún funcionario público, por lo que el sector privado no era el objeto primordial para la Secretaría de Estado antes mencionada, sin embargo, esta última década el Gobierno y el Sector Privado han observado un alza en las conductas de corrupción en las empresas, por lo que gradualmente se han emitido leyes, lineamientos, manuales y diversos instrumentos para mitigar estas acciones.
III. Faltas Administrativas en el Sector Privado
Ahora bien, como ya hemos mencionado, si bien el objetivo más importante de la Secretaría de la Función Pública es diseñar, planear, ejecutar y coordinar las políticas públicas en materia de control interno y evaluar la administración gubernamental, también lo es que derivado de diversos instrumentos jurídicos que permiten el actuar de los particulares en escenarios gubernamentales, tiene que regular o marcar las directrices para este sector en especial. Es así que de conformidad con el artículo 12 de la Convención de las Naciones Unidas Contra la Corrupción, se establece que los países deben tomar medidas para prevenir la corrupción, mejorar las normas contables y de auditoría en el sector privado, así como prever sanciones en caso de incumplimientos, por lo que la Ley General de Responsabilidades Administrativas (en adelante LGRA) es la normativa que prevé las sanciones por la comisión de faltas de particulares, así como los procedimientos para su aplicación y las facultades de las autoridades competentes para tal efecto.
Es así que derivado de los artículos 21 y 25 de la citada Ley, la Secretaría de la Función Pública emitió el “Modelo de Programa de Integridad Empresarial”, el cual es un manual que tiene como objetivo orientar al sector privado con una serie de acciones y lineamientos para implementar en función de lo establecido por el artículo 25 de la LGRA. El citado manual busca impulsar la adopción y el respeto a las normas internas (Gobierno Corporativo) y rendición de cuentas de la empresa, asegurar el compromiso por parte de directivos y altos mandos de la empresa para prevenir e inhibir la corrupción, mediante las “buenas prácticas”, códigos de conducta, sistemas de denuncia, sistemas de control, vigilancia y auditoría, capacitación y diferentes mecanismos para asegurar la transparencia en todo momento.
Como ya vimos, el objetivo del “Modelo de Integridad Empresarial” es la prevención de actos de corrupción, sin embargo, la LGRA establece que existen faltas administrativas por parte de particulares, de conformidad con los Capítulos III y IV del Título Tercero de la Ley.
Por consiguiente, en el Capítulo III del Título Tercero de la LGRA, se determinan diversas sanciones para los particulares por la comisión de alguna de las conductas contrarias a derecho establecidas en la misma ley, las cuales son las siguientes para personas morales de conformidad con el artículo 81: a) Sanción económica que puede alcanzar hasta dos tantos de los beneficios obtenidos, y en caso de no haber sido obtenidos, por el equivalente a la cantidad de mil hasta un millón quinientas mil veces el valor diario de Unidad de Medida y Actualización; b) Inhabilitación temporal para participar en adquisiciones, arrendamientos, servicios u obras públicas, por un periodo que no será menor de tres meses ni mayor de diez años; c) La suspensión de actividades por un periodo que no será menor de tres meses ni mayor a tres años, la cual consistirá en detener, diferir o privar temporalmente a los particulares de sus actividades comerciales, económicas, contractuales o de negocios por estar vinculados a faltas administrativas; d) Disolución de la sociedad respectiva, por orden jurisdiccional y como consecuencia de la comisión, vinculación, participación y relación con una Falta Administrativa grave; y e) Indemnización por los daños y perjuicios ocasionados a la Hacienda Pública Federal, local o municipal, o al patrimonio de lo entes públicos.
Como podemos observar las faltas administrativas es una responsabilidad con la que también puede cargar una empresa, debemos recordar qué, existen diversas responsabilidades de las cuales un ente privado puede llegar a ser responsable; en materia penal, administrativa y civil.
IV. Responsabilidad Penal en las Empresas
Dentro del sistema penal mexicano ya se contemplaban determinadas consecuencias que el juez podía imponer sobre una persona moral si es que ésta había sido utilizada como medio de comisión de un delito, sin embargo, ahora de conformidad con el primer párrafo del artículo 421 del Código Nacional de Procedimientos Penales, las responsabilidades entre la persona moral y en la que puedan incurrir sus representantes y administradores son independientes.
De conformidad con el artículo 421 del CNPP, las personas morales serán penalmente responsables de los delitos cometidos a su nombre, por su cuenta, en su beneficio o a través de los medios que ellas proporcionen, cuando se haya determinado que además existió inobservancia del debido control en su organización. Esta inobservancia se refiere a no existió una vigilancia o supervisión, así como políticas encaminadas para evitarlo.
Es importante aclarar que la determinación de la responsabilidad penal de la persona moral, no tiene como requisito que la conducta sea llevada a cabo por los representantes legales, administradores, socios, accionistas, etc., sino que el delito pueda ser cometido por cualquier colaborador, sea empleado, independientemente del nombre o cargo que ostenten, ya que para imputar la responsabilidad solo es necesario que el delito se cometa a través de los medios proporcionados por la misma, lo anterior de acuerdo con el artículo 11 del Código Penal Federal, por lo que es importante que todo el personal de la empresa conozca las políticas para mitigar este tipo de conductas.
El artículo 421 del CNPP igualmente establece que no se extinguirá la responsabilidad penal de las personas jurídicas cuando se fusionen, transformen, absorban o escindan. En estos casos, el traslado de la pena podrá graduarse atendiendo a la relación que se guarde con la persona moral originalmente responsable del delito.
Ahora bien, de acuerdo con el artículo 422 del CNPP, en relación con el artículo 11 Bis del Código Penal Federal (en adelante CPF), las consecuencias jurídicas aplicables a personas morales en esta materia, se darán en función si éstas cuentas con personalidad jurídica propia o no. Si tienen personalidad jurídica propia, las sanciones que se pueden aplicar, ya sea una o varias son: a) sanción pecuniaria o multa; b) decomiso de instrumentos, objetos o productos del delito; c) publicación de la sentencia; d) disolución de la sociedad; y e) las demás que expresamente determinen las leyes penales. En el caso de personas jurídicas con o sin personalidad jurídica propia serán: a) suspensión de actividades; b) clausura de locales o establecimientos; c)prohibición de realizar en el futuro las actividades en cuyo ejercicio se haya cometido o participado en su comisión; d) inhabilitación temporal consistente en la suspensión de derechos para participar de manera directa o por interpósita persona en procedimientos de contratación del sector público; e) intervención judicial para salvaguardar los derechos de los trabajadores o de los acreedores; y f) amonestación pública.
Por otra parte, el artículo 11 Bis del CPF, en su último párrafo se establece que las sanciones podrán atenuarse hasta en una cuarta parte, si con anterioridad al hecho que se les imputa, las personas morales contaban con un órgano de control permanente, encargado de verificar el cumplimiento de las disposiciones legales aplicables, para darle seguimiento a las políticas internas de prevención delictiva.
Es por ello que existe la importancia de que existan políticas y procedimientos encaminados a atender, prevenir y mitigar las conductas que puedan ser catalogadas como actos de corrupción, con el objetivo de no ser acreedores de sanciones mencionadas anteriormente, dado que, debemos recordar, la responsabilidad penal es independiente a la responsabilidad administrativa, por lo que las sanciones igualmente lo son, lo que nos podría llevar a varias sanciones legalmente constituidas en contra de la empresa.
V. Evaluación de Riesgos
Los programas de cumplimiento exitosos se basan en evaluaciones de riesgos exitosas. Ninguna política, procedimiento o control interno logrará mucho si esas herramientas están abordando los riesgos incorrectos de la manera incorrecta. Sin embargo, realizar evaluaciones de riesgo puede ser un arte difícil de dominar, no sólo porque abarcan una gran variedad de riesgos, sino también porque no se puede aplicar una plantilla estándar de evaluación de riesgos para todos los que puede enfrentar la empresa. Las organizaciones se enfrentan a riesgos que son exclusivos de su estructura, particulares de su industria y que pueden relacionarse con sus socios comerciales y/o con la geografía en la que operan.
Para comenzar, se debe definir qué función realizará la evaluación de riesgos de cumplimiento. Luego se tendrá que reunir toda la información correcta y necesaria, ya que una evaluación efectiva del riesgo de cumplimiento requiere que el oficial de cumplimiento (CCO) piense de manera amplia sobre los tipos de información necesarios, para proporcionar una medición correcta del riesgo en cuestión, y qué partes de la organización pueden ayudar a proporcionarla.
Una vez que se han identificado los riesgos de la empresa, deben medirse. Fundamentalmente, una evaluación de riesgos mide qué tan bien funcionan los controles internos en una organización para mitigar la probabilidad de que ocurra el riesgo identificado. Es importante concluir los hallazgos con un resumen o un informe escrito que describa las fallas de cumplimiento más probables e indique principalmente por qué los controles internos son insuficientes (controles contables deficientes, procedimientos de investigación obsoletos, políticas de retención de documentos poco claras, etc.) y qué áreas requieren mecanismos de control interno más sólidos. Idealmente, el informe también incluirá elementos de acción para ser implementados.
VI. Política y código de conducta
La capacidad de diseñar políticas efectivas es clave para un programa de cumplimiento exitoso. Los Oficiales de Cumplimiento deben sistematizar la creación y adopción de políticas, incluso cuando el contenido de esas políticas se vuelva más específico y detallado. Es importante utilizar un enfoque metódico para diseñar políticas individualmente: políticas que los empleados (y terceros) puedan comprender, respetar y seguir. Cualquiera que sea el requerimiento reglamentario o el riesgo comercial que impulsa la necesidad de una política específica, si la misma no puede cumplir esos tres puntos no funcionará correctamente para cubrir las necesidades de la empresa.
De acuerdo con el “Modelo de Integridad Empresarial” se hace énfasis en que las políticas deben ser claras, donde se limiten funciones y responsabilidades de cada uno de los colaboradores dentro de la empresa, dependiendo sus áreas, y que se especifique claramente las distintas cadenas de mando y liderazgo en la estructura.
Asimismo, las políticas y el código de conducta deben ser publicados y socializados entre todos los miembros de la organización y contar con sistemas y mecanismos de aplicación real. Se debe contemplar lineamientos que prevengan conflictos de intereses, además éstos deben promover el correcto y debido ejercicio de las actividades comerciales.[1] Para evitar que las políticas y el código de conducta terminen como documentos enunciativos, es importante que se tomen medidas de aplicabilidad y procedimientos de sanción en casos de incumplimiento, así como derivar los casos graves a las autoridades correspondientes.
Lo anterior nos lleva a contemplar un adecuado sistema de denuncia, tanto al interior de la organización como hacia las autoridades correspondientes, así como consecuencias concretas respecto de quienes actúan de forma contraria a las normas internas y a las leyes aplicables.
Otro elemento crucial para incluir en las políticas de la empresa son las solicitudes de excepción: cada política debe explicar cómo un empleado puede solicitar una exención o por qué no se permiten excepciones. Una política nunca debe ignorar por completo las solicitudes de excepción, por temor a que los empleados simplemente decidan no preguntar sobre una excepción y violen la política sin decírselo. Las solicitudes de excepción deben capturar toda la información necesaria para que los supervisores puedan manejar la solicitud de manera adecuada; y para que la empresa pueda documentar la solicitud como referencia futura, si es necesario.
Es importante que nuestras políticas igualmente contemplen en el área de recursos humanos lineamientos y guías tendientes a evitar la incorporación de personas que puedan generar un riesgo dentro de la organización.
VII. Administrar sus políticas y solicitudes de excepción
Los patrones en solicitudes de excepción pueden llevar a reevaluar y finalmente reajustar el programa de cumplimiento. Pero para obtener dichos conocimientos, los programas de cumplimiento necesitan dos cosas. Primero, necesitan datos sobre las solicitudes de excepción; de ahí la importancia de una documentación clara y suficiente dentro de la propia solicitud sobre quién la está haciendo y por qué. En segundo lugar, el programa de cumplimiento necesita un sistema para recopilar toda esa información, de modo que pueda analizarse. Como siempre, cuanto más automatizada e interconectada pueda ser la captura de datos, mejor.
VIII. Debida diligencia
Los terceros deshonestos representan el mayor riesgo individual para una empresa. Por lo tanto, es esencial que las compañías lleven a cabo una debida diligencia de terceros. Como se indicó anteriormente, la debida diligencia efectiva debe estar basada en el riesgo; los procesos deben corresponderse con las necesidades de la empresa. El marco de implementación, sin embargo, puede basarse en una serie de pasos estándar que pueden guiar en el proceso de creación de flujos de trabajo de debida diligencia exclusivos de la empresa. Precisar y particularizar los procesos y sistemas para cada empresa requiere de un análisis integro de cada caso por proveedor, cliente, e inclusive colaboradores de la empresa, lo cual brindará certeza en la debida diligencia a cubrir por parte del negocio.
IX. Evaluar internamente el riesgo de terceros
La relación entre la empresa y un tercero debe someterse a una evaluación de riesgos en forma de cuestionarios internos, mismos que planteen a la entidad o departamento que inicia el negocio (originador) una serie de preguntas de relación o de «alerta» que generarán solicitudes adicionales de información. Estas preguntas deben cubrir algunas áreas clave que indican riesgos de corrupción bajos, medios o altos, como la experiencia previa con el tercero, el propósito de la relación comercial, la interacción con funcionarios gubernamentales, la naturaleza de las actividades a realizar, el tipo de compensación y los términos de pago, la forma en que se seleccionó el tercero y una clasificación de riesgo del país en el que opera el tercero.
En esta etapa, un tercero debe ser examinado contra una base de datos de Internet o contra otras fuentes disponibles (listas de partes sancionadas, PEP’s, etc.), con revisiones de analistas para falsos positivos. Esto proporciona una determinación precisa de qué cuestionario debe completarse, en lugar de basarse en un puntaje de riesgo calculado fundado únicamente en las respuestas del originador.
X. Llevar a cabo una debida diligencia externa sobre el tercero
Con base en los resultados del cuestionario interno y el examen de antecedentes, se debe calcular un puntaje de riesgo. El puntaje de riesgo de un tercero determina el alcance mínimo requerido de la debida diligencia que debe realizarse a través de un conjunto de preguntas en el cuestionario de diligencia debida externa. En general, cuanto mayor es el nivel de riesgo, más profunda es la investigación que se debe realizar. Algunas de las preguntas que se incluyen en un cuestionario estándar de alto riesgo incluyen términos y condiciones de la relación comercial propuesta, detalles bancarios y referencias bancarias, conexiones con funcionarios gubernamentales, litigios actuales y anteriores, investigaciones y sanciones penales, etc.
Se deberá asignar y enviar un cuestionario externo al tercero. Una vez completado el mismo se ajustará el puntaje de riesgo del tercero para acomodar sus respuestas. Un revisor de cumplimiento debe determinar si el tercero será aprobado o rechazado después de que se complete la revisión. Hay que asegurarse de que los terceros clasificados como riesgo medio a alto sean evaluados por un área distinta a la comercial, como el departamento de cumplimiento o legal, o incluso una entidad de evaluación externa, para evitar cualquier conflicto de intereses.
XI. Post-aprobación de terceros.
En función del nivel de riesgo identificado, se debe programar automáticamente la recertificación del tercero en intervalos predefinidos. Esto se puede lograr a través de recordatorios automatizados de recertificación. Asimismo, una vez siendo aprobado el tercero, es posible solicitarle que firme las políticas y complete las capacitaciones correspondientes. Idealmente, estas actividades tendrán notificaciones y/o materiales asociados que se envían automáticamente una vez que la empresa ha sido marcada como una relación comercial.
XII. Capacitación
Una buena capacitación debe reflejar políticas y procedimientos que muestren a los empleados la conexión entre los objetivos de cumplimiento que la empresa desea alcanzar y las políticas y sistemas que la empresa utiliza para administrar las operaciones diarias.
Es importante conocer a su audiencia, ya que no todos los empleados necesitan toda la capacitación en cantidades iguales. La frecuencia con la que se envíe el material de capacitación puede necesitar ser ajustada de acuerdo con el entorno de riesgo de los diferentes grupos de empleados. Los empleados o socios que trabajen en entornos de alto riesgo deberán recibir capacitación con mayor frecuencia.
Hay que evaluar la efectividad del programa de entrenamiento al vincularlo a los resultados deseados. Por ejemplo, una mayor conciencia entre los empleados podría generar una mayor tasa de denuncias.
Las capacitaciones deben contener temas como: a) cumplimiento de la ley y sanciones; b) lineamientos generales de la normatividad nacional e internacional en materia anticorrupción y antisoborno; c) prevención y gestión de conflictos de intereses; y d) ética e integridad empresarial, entre otros.
Así mismo, será importante evaluar periódicamente a los empleados respecto a los conocimientos adquiridos en las capacitaciones, ya que de ello se tendrán valores tangibles que califiquen el nivel de aprendizaje del empleado en materia anticorrupción, así como su capacidad para detectar actos corruptos.
XIII. Gestión de casos
Los departamentos de cumplimiento se ocupan de una enorme variedad de cuestiones y, con toda probabilidad, el Oficial de Cumplimiento tendrá que hacer malabarismos con múltiples denuncias, consultas e investigaciones al mismo tiempo. De ahí que la necesidad de contar con un sistema de gestión de casos, en su programa de cumplimiento, sea una herramienta fundamental no sólo para mantener la efectividad del programa, sino también para mantener la efectividad del Oficial de Cumplimiento.
Cualquier sistema de gestión de casos debe establecer un sistema de admisión eficaz para permitir que los empleados presenten una queja. El ejemplo más obvio es una línea directa de denuncias. Un sistema de admisión eficaz permite que las reclamaciones lleguen a través de cualquier canal y consolida todas esas entradas en un sistema maestro que permite a los Oficiales Cumplimiento ver toda la actividad de reclamos a nivel global. De suma importancia es que prevalezca el anonimato en las denuncias o reclamaciones, ello para que se generé mayor confianza del empleado para denunciar probables conductas tendientes a la corrupción dentro de área alguna de la organización.
Luego viene la necesidad de clasificar estas acusaciones en alto o bajo riesgo para comprender la gravedad de la acusación y la urgencia de la respuesta. Un sistema de administración de casos debería ayudar al Oficial de Cumplimiento a analizar las diferencias de manera rápida y correcta.
Los sistemas de administración de casos también deberían permitir a los investigadores registrar cualquier «evento desencadenante» que pueda impulsar el caso en una nueva dirección. De hecho, toda la evidencia debe ser recolectada y documentada en un archivo central. Idealmente, su sistema de gestión de casos debería generar un informe de las etapas del caso, el historial de actividad y el resultado. La empresa debe tener un archivo completo del caso, listo para ser revisado por cualquier autoridad que pueda realizar un seguimiento en caso de que el denunciante original lleve sus inquietudes a los reguladores.
Una vez que se realizan las investigaciones necesarias, alguien debe recomendar las acciones requeridas y luego llevarlas a cabo. Tomar cualquier medida disciplinaria siguiendo la etapa de recomendación debe descansar en las políticas establecidas de la compañía con respecto a la disciplina en el lugar de trabajo, el debido proceso para los empleados acusados y qué ejecutivos pueden tomar decisiones sobre cierto tipo de problemas.
XIV. Reportes y Monitoreo
Un programa integral de cumplimiento será ineficaz si no se basa en sistemas adecuados de reportes y monitoreo.
El mayor riesgo para los Oficiales de Cumplimiento (y todos los altos ejecutivos) es que no comprendan lo que realmente está sucediendo en el negocio.
Un sistema de reportes sólido debe proporcionar al Oficial de Cumplimiento una imagen completa de la actividad. Un buen programa de cumplimiento capturará la mayor cantidad de datos posible y consolidará esa información de manera precisa y útil.
Una vez que se crea el material de reportes, se debe agregar y enviar a los ejecutivos correspondientes para su revisión. Cuando se establece este proceso de consolidación de datos, se pueden monitorear las tendencias más amplias de la actividad de cumplimiento, mientras que las fallas se pueden detectar y remediar.
De manera similar, el monitoreo se puede hacer de varias maneras. El desafío, sin embargo, es comprender los riesgos identificados (por ejemplo riesgos de terceros) que enfrenta su empresa y articular los datos que describirían o cuantificarían ese riesgo y luego ampliar ese ejercicio para que todos sus datos de monitoreo puedan agregarse, permitiendo al equipo de cumplimiento pasar más tiempo analizando datos en lugar de prepararlos.
Se debe crear un sistema de escalamiento claro y apropiado para que un incumplimiento pueda informarse rápidamente. Un procedimiento de escalamiento eficaz enruta las preocupaciones al Oficial de Cumplimiento y a otros altos ejecutivos, según corresponda. En otras palabras, un procedimiento de escalamiento eficaz conduce un «evento de riesgo» (una alegación de mala conducta, una tendencia inquietante en los datos, un incidente específico como una violación de datos), a aquellos en la empresa que tienen el propósito de responder a dicho evento.
XV. Conclusión
Hemos observado dos responsabilidades de las cuales las empresas pueden ser afectadas y la forma en que pueden ser afectadas, es por ello que hoy en día, la empresa debe ya no solo observar la legislación aplicable, sino también ejercer acciones por ella misma para prevenir y mitigar conductas que pueden llegar a ser imputables a ella, por lo que tener un control interno mediante políticas y códigos de conducta es importante para este tema.
Como se señaló, los programas de cumplimiento no son un modelo único para todas las empresas. Es esencial comprender los componentes críticos de un programa y luego adaptar cada aspecto a las necesidades específicas del negocio. Cuando el equipo de cumplimiento puede elevarse a una posición más estratégica, el cumplimiento se puede ver menos como un equipo de intervención de crisis y más como un socio comercial crítico.
Contacto
Para mayor información con relación a lo anterior, favor de contactar a cualquiera de los siguientes miembros de BGBG:
Miguel Gallardo Guerra
Samuel Uziel Rivero Prado
Mario Arturo Preciado Alonso
mpreciado@bgbg.mx
[1] Secretaría de la Función Pública. (12 de junio de 2017). Modelo de Programa de Integridad Empresarial [ArchivoPDF]. Recuperado de https://www.gob.mx/cms/uploads/attachment/file/272749/Modelo_de_Programa_de_Integridad_Empresarial.pdf