Por:
Las nuevas dinámicas de la geopolítica mundial con impacto sobre los actores económicos, la incidencia transnacional de los sistemas jurídicos de las principales potencias y la presión de organismos multilaterales, forman parte del conjunto de factores que determinan la realidad normativa de nuestros países y su evolución hacia la «criminalización» de las organizaciones. Este nuevo estado de cosas, en consecuencia, exige de quienes cubrimos roles relacionados con la gestión de riesgos, el cumplimiento, la auditoría, el derecho, entre otros, comprender la importancia que tiene en la actualidad la administración de riesgos criminales en nuestras organizaciones.
La expedición de la Norma Técnica Colombiana sobre “Sistemas de Gestión del Compliance Penal y Ético” (NTC 6671:2023) por parte de ICONTEC, por poner un ejemplo, constituye un buen indicador de aquella tendencia en este País. La implementación y certificación actual de empresas colombianas como Ocensa – Oleoducto Central S.A. y Banco Popular Colombia de su Sistema de Gestión de Compliance Penal bajo el último marco de referencia, en línea con lo anterior, son evidencia de la materialización de tal tendencia.
¿Cómo entender el “riesgo penal” en el contexto de las organizaciones?, ¿cuál es la importancia de su administración por parte de sus áreas de cumplimiento? y ¿cómo integrar dicha gestión a los modelos de cumplimiento ya implementados?, son las tres preguntas que me planteo responder en este primer post.
Antes de responder a estas cuestiones, es importante tomar conciencia de un presupuesto difícilmente discutible: ninguna organización, incluso las de menor dimensión, está exenta de que se materialicen delitos en el marco de sus actividades que pueden generarle efectos altamente perjudiciales (legales, reputacionales, operativos, etc.). Y no me refiero, en este caso, a la integración de actividades delictivas a la estrategia de la organización por parte de sus administradores o directores, sino a la dificultad inherente que presentan éstos de controlar determinadas posiciones, cargos o funciones críticas que la conforman (comercial, compras, tesorería, etc.).
Asumido este presupuesto, la siguiente situación a considerar es la posición que deberían asumir los roles con autoridad (administradores, directores, etc.) y de control (gestores de riesgos, oficiales de cumplimiento, auditores internos, jurídicos, etc.) de las organizaciones. Para formular esta segunda cuestión, cabe traer a colación las tres posiciones que estos órganos podrían adoptar frente a dicha posibilidad de concreción del riesgo planteadas en la obra que subyace a la presente reseña (“Criminal-Risk Management & Compliance”):
“(i) ¿halla justificado el proceder ilícito de sus subalternos como vía para el logro de sus objetivos estratégicos?; (ii) ¿considera que no tiene el deber de precaver los eventos ilícitos que pudieran producirse por parte de sus delegados en el marco de la operativa de la corporación?; (iii) ¿piensa que debe asumir un deber de vigilar y controlar esas posiciones críticas?[1]”
Si usted se identifica con la última posición, se señala en la obra, entonces lo que procede es caminar hacia un programa de cumplimiento penal, modelo de prevención de delitos o sistema de gestión de riesgos penales.
En el contexto de esta obra, entendemos por “riesgo penal” aquellas consecuencias negativas, perjudiciales o lesivas asociadas a la comisión de delitos en el seno de las organizaciones. Es fácil imaginar que, tanto en el marco operativo de personas jurídicas de Derecho privado (sociedades comerciales, ESAL, etc.) como públicas (administración pública, empresas estatales, etc.), pueden cometerse delitos por parte de sus integrantes con potencialidad de generar consecuencias negativas para organización y las mismas personas naturales que participan o posibilitan su comisión (por acción o por omisión). Conocidos son en el ámbito de las áreas de cumplimiento los efectos de orden legal (multas, penas privativas de libertad, etc.), reputacional (pérdida de negocios por daños a la imagen, disminución del valor de acciones, etc.) y operativo (pérdidas financieras, huída de talento humano, etc.). Efectos que pueden derivarse de conductas delictivas, también ampliamente conocidas, como lavado de activos, sus diversos delitos fuente, financiación del terrorismo y aquellos enmarcados dentro del marco jurídico del concepto de corrupción (tráfico de influencias, celebración de contratos sin cumplimiento de requisitos legales, cohecho, etc.).
Para dimensionar la importancia de su gestión, lo primero es despojarse de aquella idea errada, según la cual, la noción de “riesgo penal” sólo adquiere relevancia en el contexto de países en los que se encuentra instaurado un marco de responsabilidad penal de personas jurídicas. Si bien hoy son múltiples los países latinoamericanos en los que está vigente un régimen jurídico de tal naturaleza (Chile, México, Ecuador, Argentina, etc.), sin embargo, la dimensión de tal riesgo es mayor. Este alcance es mayor, dado que bajo dicha noción encuentran cabida no sólo tales marcos de responsabilidad penal corporativa, sino también las disposiciones jurídicas que establecen la responsabilidad administrativa derivada de delitos, aquellas regulaciones que obligan a adoptar modelos de gestión de riesgos delictivos (lavado de activos, soborno transnacional, corrupción, etc.) y las leyes que castigan individualmente los delitos cometidos en los mismos contextos (v. gr., los hechos ilícitos imputables a los administradores y directores). Súmese a lo anterior, la posibilidad de que cualquiera de nuestras empresas encaje dentro del ámbito de aplicación de disposiciones normativas con alcance transnacional, entre las más conocidas, la FCPA o la UKBA (refiérase, por ejemplo, la sanción a GRUPO AVAL / CORFICOLOMBIANA, por infracción de la FCPA).
Resumiendo, de acuerdo con la respuesta a la primera cuestión, los modelos de gestión de riesgos penales se orientan a precaver los efectos lesivos que pueden potencialmente generarse de la comisión de actividades delictivas en el entorno de nuestras organizaciones (para la persona jurídica y sus agentes).
Esta primera cuestión es indicativa, además de lógica, de la respuesta a la segunda pregunta planteada al inicio de este post: la importancia de su gestión por parte de las áreas de cumplimiento. Su relevancia radica en que, dejar librada al azar la comisión de hechos delictivos en el contexto organizacional puede derivar en la imposición de graves sanciones para la persona jurídica y sus miembros, incluso para los mismos oficiales de cumplimiento, lo que lleva implícito el enorme coste reputacional que supone, para una y otros, una sanción de tal naturaleza (estigma). No se pierda de vista que, valga reiterar, en múltiples de nuestros Estados están vigentes regímenes de responsabilidad penal y administrativa de personas jurídicas (derivada de delitos), que al final derivan en enormes costes económicos y reputacionales. Tampoco se pierda de vista que, ahora hablando de los miembros de la organización, los códigos penales de nuestros países castigan tanto la comisión delictiva de carácter positiva (hacer) como la comisión por omisión (dejar de hacer, a raíz de la obligación jurídica que tienen administradores y directores de vigilar determinadas fuentes de riesgo -criminal-).
Resaltada la importancia de administrar el riesgo penal, la respuesta a la tercera cuestión permite avizorar que su gestión no resulta tan compleja para las áreas de cumplimiento ni requiere desmesurados recursos adicionales. Lo anterior, dado que la administración de riesgos penales puede desarrollarse ampliando el marco de eventos / sucesos bajo aquellos programas, sistemas o modelos de gestión de riesgos -delictivos- comunes en nuestros distintos países, v. gr., los sistemas de gestión de riesgos LA/FT/FPADM y de corrupción. Entre otros aspectos, además de la identidad en la naturaleza del riesgo (criminal), los modelos de prevención de delitos, programas de cumplimiento penal o sistemas de gestión de riesgos penales comparten con los tradicionales modelos AML/CFT y anticorrupción los principios (compromiso de alto nivel, proporcionalidad, etc.), órganos (gobierno, dirección, cumplimiento, aseguramiento, etc.), mecanismos (políticas, procedimientos, formación, comunicación, canales de denuncia, debida diligencia, etc.), metodologías (gestión de riesgos, auditoría, etc.), etc.
Para advertir dicha posibilidad de integración y ampliación del alcance de nuestros modelos de cumplimiento hacia el espectro penal, podemos plantear el siguiente supuesto: si es común que nuestros vigentes sistemas anticorrupción contemplen eventos de riesgos como el ofrecimiento o recibo de coimas en las áreas de compras provenientes de proveedores, no hay limitación para que también se identifiquen, analicen, evalúen, controlen y monitoreen otros eventos intrínsecamente comunes en su génesis (causas), pero que tradicionalmente no se han tenido en cuenta en los vigentes sistemas de gestión de riesgos y compliance, como, por ejemplo, delitos corrientes contra la Administración pública (tráfico de influencias, cohecho, celebración de contratos sin cumplimiento de requisitos legales, etc.), el orden económico y social -distintos al lavado de activos- (usurpación de derechos de propiedad industrial, exportaciones o importaciones ficticias, evasión fiscal, contrabando, etc.) o incluso contra el patrimonio económico (corrupción privada, administración desleal, etc.).
Al final, es sólo cuestión de tener una mayor conciencia por parte de nuestras áreas de cumplimiento sobre todos los potenciales eventos de riesgo que pueden materializarse en el entorno de nuestros negocios, actividades, operaciones o contratos con potencialidad de generar graves efectos legales, reputaciones y operativos. Lo contrario, es conformarnos con el ámbito de aplicación al que nos obliga un determinado marco regulatorio.
En consecuencia, la recomendación práctica para optimizar nuestros sistemas de gestión de riesgos criminales es comenzar a incorporar gradualmente en sus respectivas matrices (identificar, medir y valorar) ciertos eventos, de acuerdo con el análisis de contexto externo e interno que ya se tiene desarrollado para los riesgos gestionados. Con seguridad, los controles que ya se encuentran operando (según la misma matriz de riesgos), pueden reconducirse a esos nuevos eventos de riesgo.
En la próxima cápsula veremos por qué un modelo de gestión de riesgos penales debe fundarse en una metodología que articule postulados aplicados de la Criminología con el objetivo de lograr una óptima comprensión de sus factores y causas y plantear opciones de tratamiento efectivos.
[1] Amézquita, Jorge Andrés, Criminal-Risk Management & Compliance: un modelo para el gerenciamiento de riesgos penales corporativos, Bogotá: Tirant lo Blanch, 2024, págs. 27 – 28.