Por:
¿Por qué la gestión de riesgos penales es una sabia decisión de gobernanza en las organizaciones e implica un cambio de perspectiva de sus áreas de gestión de riesgos y de cumplimiento? Es esta la pregunta principal que me planteo responder en el presente post.
Fenómenos como la creciente expedición de regímenes de responsabilidad penal de personas jurídicas en Latinoamérica, la proliferación de estándares internacionales que impactan los sistemas de gestión de riesgos penales (como sucedió en Colombia, por ejemplo, con la expedición de la NTC 6671:2023 sobre Sistemas de Gestión de Compliance Penal y Ético) y la adopción de programas de cumplimiento penal por parte de distintas compañías sin estar jurídicamente apercibidas a ello (en Colombia, por ejemplo, ENEL, OCENSA o BANCO POPULAR), conforman un buen indicador de la importancia que viene adquiriendo en los últimos años, casi sin darnos cuenta, conectar la gestión de riesgos penales a los modelos de gobierno de las organizaciones y, en consecuencia, a sus sistemas de gestión de riesgos y de compliance. Pero no sólo en el sentido de prevenir efectos legales, sino además porque la reducción de múltiples eventos criminales en nuestras organizaciones conecta, en no pocos casos, con la precaución de impactos sociales y ambientales. Sumados a la buena gobernanza, como se sabe, estos dos últimos conforman los reconocidos criterios ESG.
¿Cuáles son las razones que puede tener una organización para adoptar un sistema de gestión de riesgos penales?, ¿qué beneficios -corporativos e individuales- trae aparejado su implementación? y ¿por qué la forma de poner en marcha un modelo de prevención de delitos es sólo cuestión de perspectiva? A continuación, me permito plantear algunas razones, beneficios y forma para avanzar en dicho propósito. El objetivo, al final de esta lectura, es comprender por qué un programa de tal naturaleza es inescindible en la actualidad de los modelos de gobernanza y de administración de riesgos de nuestras organizaciones.
1. Razones
La decisión estratégica por parte de una organización de adoptar cualquier sistema de gestión (de calidad, de riesgos, de seguridad de la información, de compliance, entre muchos otros), normalmente, está precedida de razones de peso que le permitan a su órgano de gobierno y/o alta dirección, según sea el caso, avalar su ejecución. En lógica financiera, debe generarse un convencimiento por parte de tales órganos, en el que los beneficios esperados con su implementación superen los “costes” (inversión) de la decisión. Pues bien, dado que la iniciativa de impulsar un proyecto de gestión de riesgos penales suele emerger de las áreas de riesgos o de cumplimiento, entonces, éstos deben armarse de argumentos para procurar su aprobación superior. Al menos tres razones pueden esbozarse:
1.1. Para precaver sanciones: En la mayoría de nuestros países se encuentran vigentes marcos normativos que castigan la comisión de delitos en el entorno de las organizaciones. Si damos una rápida mirada por los ordenamientos jurídicos de nuestra región, rápidamente podremos generar un mapa de riesgos legales asociado a los regímenes de responsabilidad penal o administrativa de personas jurídicas que castigan la comisión de delitos en su seno. Así, por referenciar algunos marcos normativos: Chile (Ley 20.393/2009), Brazil (Ley 12.846/2013), Ecuador (COIP/2014), México (CNPP/2014 y CPF/2016), Perú (Ley 30.424/2016), Argentina (Ley 27.401/2017), Costa Rica (Ley 9699/2019), Colombia (Ley 2195/2022), etc. Añádase a los anteriores, dos de los sistemas de responsabilidad criminal corporativa más relevantes en punto a su posibilidad de aplicación transnacional: la FCPA-EEUU (1977) y la UK-BA (2010).
Por razones obvias, no es propio de este escrito detenernos en cada uno de estos marcos normativos y examinar su alcance jurídico. Sin embargo, su sola enunciación permite avizorar que tanto las empresas de actividad nacional como aquellas que operan en múltiples jurisdicciones corren un riesgo de recibir sanciones a causa de la comisión de delitos en el contexto de sus actividades (típicamente, asociados a actos de corrupción, lavado de activos y financiación del terrorismo). Sin embargo, no son éstos los únicos tipos delictivos de los que debe cuidarse en la actualidad una corporación. Basta mencionar los más de 200 tipos penales que comprende el régimen de responsabilidad penal de personas jurídicas de Chile tras la reforma operada por la Ley 21.595 (la denominada “Ley de delitos económicos”) o los más de 100 que integra el régimen de responsabilidad administrativa por delitos vigente en Colombia desde la Ley 2195 de 2022.
En síntesis, la primera razón de peso es que los empresarios deben comprender que el ejercicio de su actividad económica lleva implícita una cantidad de riesgos delictivos que, en caso de concretarse, son susceptibles de ser castigados por el Derecho sancionatorio (penal o administrativo). No darse cuenta de esa latente posibilidad de materialización delictiva, equivale a convivir con un nivel de riesgo no tolerable que puede terminar en la imposición de graves sanciones para la organización y, con ello, un grave daño a su reputación.
Aquí, el papel de las áreas de administración de riesgos y de cumplimiento es concienciarse que el riesgo legal proviene no solo de incumplimientos normativos atados a leyes o regulaciones que obligan a adoptar un determinado modelo de cumplimiento, sino también a infracciones criminales.
1.2. Riesgo de procesamiento penal de sus administradores y directores: Cuando se revisan decisiones jurisprudenciales o trabajos doctrinales en torno a la responsabilidad penal de los administradores y directores, el foco de la discusión suele centrarse en los presupuestos jurídicos exigidos para la imposición de una sentencia condenatoria (dogmáticos, procesales y probatorios, esencialmente). La anterior, claramente, es una visión jurídica del asunto que mira hacia la imposición efectiva de sanciones. Sin embargo, desde una perspectiva de gestión de riesgos, el foco debe remontarse a un plano previo: a los efectos lesivos que podrían derivarse de la sola posibilidad de ser objeto de una investigación penal o administrativa. Para llegar a este escenario preliminar del proceso, como es lógico, no se requiere comprobación judicial alguna de responsabilidad (esto últmo sucede mucho después). A este indeseable escenario, le denomino “riesgo de procesamiento”, el cual puede traer aparejados idénticos efectos reputacionales y financieros a los de la propia sanción legal. Veamos:
Ninguna organización está exenta de que en su interior se cometan delitos asociados a su objeto y actividades. Sin temor a equívocos, la mayoría de los códigos penales de nuestros países castigan la comisión de aquellos delitos que comúnmente se producen en el contexto de actividades empresariales (tráfico de influencias, cohecho, celebración de contratos públicos sin cumplimiento de requisitos legales, soborno transnacional, lavado de activos, etc.). Si esto es así, ante la materialización de uno de estos delitos, la siguiente cuestión a responder es quién debe responder por ellos. Con alta probabilidad, la mirada de la mayoría de los operadores jurídicos (fiscales, jueces, etc.) se dirige hacia la cabeza de sus administradores y directores al momento de comenzar a indagar por las responsabilidades individuales. Es decir, las responsabilidades suelen comenzar a buscarse (investigarse) de “arriba” hacia “abajo”. Pero no me refiero a que deba existir un indicio de contribución criminal directo de tales gestores, sino sólo al hecho de que los mismos códigos penales castigan la omisión de aquellas personas que, por su rol o función, tienen una posición de garantes (de garantizar que no se desencadenen sucesos delictivos a causa de su no hacer). En este punto, dichos gestores entrarían en ese escenario de “riesgo de procesamiento” que no sólo les expone reputacionalmente en forma individual, sino que también lastima el nombre e imagen de sus organizaciones. Por poner sólo un ejemplo, imaginemos los perjudiciales efectos que podría traer para un directivo y su compañía, en la era de las RRSS, una noticia sobre la apertura de una causa criminal por corrupción o lavado de activos.
Cuestión distinta es la suerte que luego pueda correr la investigación penal y la fase judicial propiamente dicha. Pero el daño ya está hecho: la sola investigación penal puede ya traer demoledores efectos reputacionales.
Dicho lo anterior, lo siguiente que cabe plantear en este punto es la función que cumpliría un programa de cumplimiento penal en este escenario. La adopción de un modelo de prevención de delitos que anticipe (identificación, medición y evaluación) y aborde (tratamiento) esos posibles eventos de riesgo criminal que podrían materializarse en el entorno de las organizaciones, podría comportar una ventaja no sólo para lograr una mejor posición jurídica en la defensa procesal-penal por parte de sus gestores (pues la responsabilidad penal no es objetiva), sino también para gestionar la crisis reputacional asociada a la investigación penal. En el primer escenario, entre otras múltiples ventajas, el modelo de prevención de delitos posibilitará demostrar aspectos que facilitarían su defensa como el principio de confianza en torno a las actividades o funciones delegadas comprometidas con el acto criminal, como la debida selección (deber in eligendo) y supervisión (deber in vigilando) del delegado infractor; esto es, posibilitaría demostrar lo opuesto a la omisión presunta que vincula al gestor a la investigación penal: la diligencia debida en su rol de administrar. Incluso, el programa le permitirá apoyar la investigación penal oficial a través del mecanismo de investigaciones internas que comúnmente tiene asociado. En el segundo escenario, el plan de comunicaciones y de gestión de crisis reputacionales que suele estar vinculado a este tipo de sistemas de gestión, le permitirán reaccionar rápidamente ante el “boom” noticiario que puede desencadenarse tras la investigación.
Por tanto, si algún jurista le ha dicho que la responsabilidad penal de un administrador o director por la conducta de sus subalternos es poco probable (pues una sentencia penal está rodeada de grandes garantías, suele decirse), quizá sea mejor pensar en la facilidad de que se active una investigación penal. Esto último, que incluso puede ser arbitrario, con seguridad es más sencillo.
1.3. La gestión de riesgos delictivos conecta con la protección de la reputación: En línea con lo expresado en el último segmento, el daño a la imagen de una organización o sus directivos puede terminar produciendo consecuencias desastrosas en términos económicos. Las noticias sobre actividad criminal en organizaciones, como ninguna otra, suele ser motivo para el bloqueo de negocios, cancelación de contratos, frustración de operaciones, entre otros efectos, en la era de la prevención de riesgos criminales y el compliance. ¿O qué área de cumplimiento seria no ha propuesto el rechazo de un cliente o de un proveedor por estar relacionado negativamente en una noticia de prensa o por tener alguna investigación penal? La respuesta es clara.
Por tanto, visto de este modo, la prevención de conductas criminales al interior de nuestras organizaciones termina convirtiéndose en un poderoso instrumento (medio) para la gestión del riesgo reputacional. Pero no me refiero a una gestión reactiva o correctiva de un suceso tras el que se desencadenan negativos efectos reputacionales, sino a su prevención misma: anticiparse a esas posibles conductas que pueden manchar el nombre o la imagen de una organización y, a partir de ello, poder desarrollar controles orientados a su precaución.
2. Beneficios:
El conjunto de beneficios que trae apareada la implementación de un sistema de gestión de riesgos penales está directamente conectado a las razones esbozadas en el punto anterior. Algunos beneficios que trae consigo su adopción, son los suguientes:
2.1. Permite controlar otros riesgos criminales no previstos en los programas de cumplimiento implementados en las organizaciones:
En la gran mayoría de nuestras organizaciones se encuentran ya implementados modelos de prevención de riesgos de lavado de activos, financiación del terrorismo y corrupción. No suelen denominarse propiamente riesgos penales, pero en su esencia normativa y técnica responden a la misma naturaleza y estructura. ¿O qué otra cosa es lavar activos, apoyar a organizaciones terroristas o valerse de prácticas corruptas, sino hechos punibles (delictivos) en su más estricto sentido? Aquí la respuesta también es clara.
Esta corta introducción sirve para plantear la siguiente reflexión: ¿Si ya tengo implementado un sistema de gestión de riesgos criminales de alcance limitado (LAFT o corrupción), por qué no extenderlo a otros eventos de riesgo estrictamente relacionados? La respuesta lleva implícita la posibilidad de ampliar el rango fáctico de estos programas ya en marcha bajo un sistema de compliance de mayor cobertura, en el que se gestionen, con la misma estructura y recursos disponibles, otros riesgos no cubiertos por el modelo primigenio. Basta imaginar, por ejemplo, todos los eventos de riesgo que los modelos LAFT y de corrupción suelen asociar a las áreas de compras y comerciales. Entonces, bajo esa hipotética extensión, puede pensarse en otros sucesos delictivos que también son propios de tales áreas, pero que no están cubiertos por la norma regulatoria.
Lo curioso de todo esto, piénsese, es que quizá estemos hoy gestionando bajo nuestros modelos de cumplimiento eventos de riesgo con muy poca probabilidad de materialización; esto, bajo el argumento de que una disposición regulatoria me obliga a gestionarlos. Pero, al mismo tiempo, estemos descuidando posibles sucesos de riesgo con mayor probabilidad de acaecimiento que podrían generarnos iguales o peores impactos en caso de materialización. De hecho, en Colombia se presenta un ejemplo muy curioso que refleja meridianamente este fenómeno: las áreas de cumplimiento de múltiples empresas están muy preocupadas de cumplir con las regulaciones del SAGRILAFT y el PTEE de la Superintendencia de Sociedades, cuya no adopción apareja una sanción de hasta doscientos (200) SMLMV, pero sin embargo no les preocupa mucho que la materialización de los mismos eventos delictivos cubiertos por estas dos disposiciones y otro número elevado de tipos penales por los que pueden ser sancionadas las personas jurídicas en el marco de la Ley 2195 de 2022 (Art. 2), apareje sanciones de hasta doscientos mil (200.000) SMLMV; sí, tres ceros más a la derecha. La razón de esta incongruencia, como puede inferirse, es que en el último caso, la Ley 2195 de 2022 no amenaza con sanciones la no adopción de un programa de cumplimiento para precaver los más de 100 tipos delictivos por los que podría eventualmente ser sancionada una persona jurídica. Este ejemplo, nuevamente, refleja que nuestras áreas de riesgos y de cumplimiento basan la gestión del riesgo legal en los incumplimientos, pero dejan por fuera la porción de riesgo legal fundado en las infracciones (penales).
Además de lo anterior, pensando ahora en compañías que operan en mercados transnacionales, en la actualidad resulta impensable que se extiendan actividades comerciales a otras jurisdicciones sin un modelo omnicomprensivo que permita cubrir óptimamente las disposiciones que castigan la comisión de delitos en entornos empresariales.
En resumen, una genuina perspectiva de gestión de riesgo debe apuntar no sólo a la eventual sanción que pueda imponer un regulador por el no cumplimiento de ciertos requisitos (aprobar una política para x riesgos, designar un oficial de cumplimiento con esa específica especialidad, desarrollar un manual orientado a la gestión determinada de tales riesgos, etc.), sino también a la anticipación de todos esos posibles eventos delictivos que podrían generar consecuencias legales, reputacionales y operativas, incluso muchísimo más graves que las resultantes de aquél incumplimiento.
2.2. Permite extender su alcance a la precaución de la responsabilidad penal de los administradores y directores: En línea con lo comentado en precedencia, la extensión de tal alcance permite precaver la responsabilidad penal de administradores y directores. El argumento es simple: si determinados delitos cometidos en cualquiera de las cadenas de delegación de las organizaciones pueden ser endilgados a tales gestores bajo el argumento jurídico de presuntas omisiones (comisión por omisión), entonces un sistema de gestión de riesgos penales de mayor amplitud puede cubrir de mejor manera tales riesgos.
Por un lado, porque son múltiples de los sucesos de riesgo criminal que podrían derivar en investigaciones penales para dichos gestores. En este sentido, un programa de cumplimiento penal podría potenciar la prevención, detección y respuesta frente a múltiples eventos delictivos al interior de la organización susceptibles de generar tales investigaciones. Y, por otro lado, porque al estar cubiertos por el sistema de gestión riesgos penales esos potenciales eventos delictivos, las posibilidades de defensa jurídica se incrementan (en caso de llegar a abrirse efectivamente la investigación penal).
Este punto nos permite caminar hacia una reflexión poco reconocida en las áreas de cumplimiento de las compañías: el sistema de gestión de riesgos penales no es para beneficio exclusivo de la organización obligada a su implementación; también lo es para beneficio de sus gestores. Incluso, aunque no es objeto de este escrito, servir a la defensa penal de los propios oficiales de cumplimiento. Poder convencerles de ello, me refiero a los administradores y directores, constituye un incentivo para optimizar nuestros sistemas de compliance en la línea integral que se ha venido comentando.
2.3. Permite un mayor alcance en las conductas de fraude de la organización: Un aspecto en el que pocas veces se repara en el marco de los sistemas de compliance, es en la posibilidad de extender el alcance de sus políticas y procedimientos a la gestión de riesgos de fraude (entendido como aquellas conductas delictivas que no generan propiamente un riesgo legal para la organización, pero sí atacan directamente sus recursos). Se habla, en estos casos, de un compliance “ad intra”. De hecho, valga anotarlo, la norma española UNE 19601 sobre Sistemas de Gestión de Compliance Penal, expresamente establece esta correlación en relación a su “Objeto y campo de aplicación” (1), a saber: “Esta norma UNE no se proyecta específicamente sobre riesgos (3.28) que hallándose relacionados con la esfera penal o suponiendo incumplimientos de la normativa, no guardan relación directa con ilícitos penales cometidos con el objetivo de beneficiar a la persona jurídica, como pueda ser el riesgo (3.28) de fraude en perjuicio de la organización (3.20). No obstante, la organización (3.20) puede decidir extender el alcance, tanto de la política de compliance penal (3.24), como del sistema de gestión de compliance penal (3.31) a estas esferas, en caso de que le resulte de utilidad.”[1].
Nótese cómo la mirada regulatoria poco sirve en estos casos, pues normalmente la norma estatal no obliga a prevenir el fraude interno. Sin embargo, desde una perspectiva de gestión de riesgos, múltiples conductas delictivas con potencialidad de generar graves daños financieros a las organizaciones, sí que deberían estar comprendidas dentro del sistema de gestión de riesgos penales (o, más bien, criminales). Así, por ejemplo, conductas de distinto calado como administración desleal, corrupción privada, hurtos, sabotaje, violación de datos personales, falsedad documental, intrusiones no autorizadas a sistemas informáticos, violaciones a la propiedad industrial e intelectual, entre muchas otras acciones que atentan contra la propia organización, deberían tener mayor atención desde las áreas de riesgos y cumplimiento.
3. Método:
La forma de adoptar una “superestructura” de compliance penal, como ya se ha venido indicando, no resulta compleja ni presenta excesivos costes financieros, humanos y técnicos de adaptación. Veamos al menos tres formas de procedimentalizarlo:
3.1. Se puede integrar fácilmente a los programas de cumplimiento ya implementados en la organización: Una de las excusas que encuentran las áreas de cumplimiento de las organizaciones para no adoptar un programa de cumplimiento penal, es que no existe una norma jurídica estatal que se los exija. Más allá de que esta postura refleja que no existe en la concreta organización una verdadera conciencia de gestión de riesgos y que el modelo de cumplimiento es esencialmente regulatorio (“cumplo, porque la norma me obliga»), lo lamentable es que se está perdiendo una valiosa oportunidad de extender todos los recursos disponibles para dichos modelos hacia otros riesgos -penales- con la misma estructura humana, financiera y técnica instalada. Me explico:
En la actualidad, múltiples de las organizaciones de los distintos países están obligadas a adoptar modelos contra el lavado de activos, la financiación del terrorismo y ciertas formas de corrupción. Si se observa con detenimiento el alcance de dichos modelos (obligatorios), bajo su cobertura podrían tratarse otros sucesos delictivos que, si bien no están contenidos dentro de la norma legal o reglamentaria que obliga a su cumplimiento, sin embargo, el tipo de riesgo tratado permite extenderlo a otros fenómenos delictivos. Imaginemos, por ejemplo, extender la gestión de riesgos de cohecho (nacional) y soborno transnacional, estos últimos de obligada gestión en múltiples de nuestros países, a riesgos de corrupción privada (estos últimos, raramente incluidos). O bien, como segundo ejemplo, extender la gestión de riesgos de lavado de activos a distintos de sus delitos subyacentes como forma de precaver eventos de lavado desde su propia fuente (atacando su hecho generador).
3.2. Los riesgos se pueden cubrir con los mismos controles ya implementados por la organización: Si se revisan los actuales planes de tratamiento establecidos bajo los vigentes modelos de gestión de riesgos criminales en nuestras organizaciones, podremos constatar que tenemos una gran cantidad de mecanismos transversales y concretos que podrían ponerse al servicio de un sistema de gestión de criminal-compliance de mayor alcance.
A nivel transversal, por ejemplo, más allá de instrumentos esenciales para la gestión de riesgos criminales -en general- como los códigos de ética, políticas, manuales de programa, manuales de funciones, manuales operativos, procedimientos, protocolos, etc., encontramos mecanismos de control como planes de formación, administración de terceros, canales de denuncia, investigaciones internas, auditoría interna, procedimientos sancionatorios, entre otros, que claramente podrían extenderse a otros riesgos penales.
A nivel concreto, podemos imaginar cómo ajustaríamos fácilmente controles ya establecidos en áreas críticas de la organización para riesgos como lavado de activos, por ejemplo, los procesos asociados a compras o comercial (segregación de procesos, escalas de autorización, etc.), frente a los nuevos tipos de eventos de riesgo.
En definitiva, se trata de ampliar la perspectiva de gestión (control) a riesgos no concebidos en la actualidad.
3.3. Es sólo cuestión de perspectiva: Como indiqué supra, en la era de la gobernanza y la gestión de riesgos organizacionales, la prevención criminal no puede reducirse al cumplimiento de obligaciones legales o regulatorias. No puede ser que la adopción de un sistema de gestión de riesgos penales dependa de la entrada en vigor de un régimen de responsabilidad penal de personas jurídicas o de una regulación específica que obligue a prevenir determinados riesgos criminales (lavado de activos, financiación del terrorismo y corrupción, por ser lo más común). La perspectiva, por el contrario, debe ser la de una genuina gobernanza y estrategia de gestión de riesgos.
La lógica de los seguros es un buen ejemplo para advertir esta perspectiva. Imaginemos el siguiente supuesto: adquiero un seguro de vehículo por daños a terceros, contra incendios o de salud, por traer a colación tres tipos de póliza comunes, porque una norma me obliga según mi actividad profesional u ocupación o bien porque, si estar apercibido a adquirir tal póliza, tengo la convicción de que ello me permite cubrir contingencias mediante el “traslado” del riesgo a un tercero (asegurador). Pues bien, llevado esto a la gestión de riesgos penales, la perspectiva a adoptar es naturalmente la segunda: cubrir potenciales eventos delictivos mediante la extensión estratégica de nuestros sistemas de gestión de riesgos porque he adquirido la convicción de que ello me permite cubrirlos de forma óptima.
Compañías que en la actualidad han desarrollado un programa de cumplimiento penal en jurisdicciones como Colombia en la que no existe propiamente un régimen de responsabilidad penal de personas jurídicas (ENEL), incluso otras que ya han certificado su modelo de gestión de riesgos penales bajo normas técnicas como la citada NTC 6671:2023 sobre Sistemas de Gestión de Riesgos Penales y Éticos (como la filial del Grupo ECOPETROL, OCENSA, o la entidad financiera BANCO POPULAR), por poner solo un ejemplo, constituye un buen indicador de la realización de esta perspectiva. La expedición de la misma norma técnica acabada de referenciar, es buen indicio de la necesidad de adoptar esta nueva perspectiva.
En otro post me ocuparé de cómo la gestión de riesgos penales también es un poderoso instrumento para la gestión de impactos negativos asociados a los criterios ESG (fortalecimiento de la gobernanza, mitigación de impactos ambientales y precaución de lesiones al tejido social).
Estos y otros múltiples aspectos están inspirados en mi obra “Criminal-Risk Management & Compliance: Un modelo para el gerenciamiento de riesgos penales corporativos”[2].
¿Y tu área de riesgos y cumplimiento, en qué perspectiva se ubica?
[1] AENOR, UNE 19601:2017, Sistemas de gestión de compliance penal Requisitos con orientación para su uso, Pág. 9.
[2] Amézquita, Jorge Andrés, Criminal-Risk Management & Compliance: un modelo para el gerenciamiento de riesgos penales corporativos, Bogotá: Tirant lo Blanch, 2024.