Por: Jorge Andrés Amézquita T.
La gestión de riesgos penales no es preocupación exclusiva de aquellas áreas o encargados de cumplimiento que operan en países cuyos sistemas jurídicos han previsto un sistema de responsabilidad de personas jurídicas o un marco regulatorio análogo que exija la implementación un modelo de prevención de delitos. En lo que a Colombia respecta, al menos dos razones pueden esgrimirse para sostener que los oficiales de cumplimiento deberían ocuparse también de la gestión de riesgos penales.
La primera tiene que ver con el nuevo escenario de riesgos legales asociados a la materialización de eventos criminales al interior de las personas jurídicas tras la entrada en vigor de la Ley 2195 de 2022 (Artículo 2º). Como he señalado en otros escritos y foros, muchos oficiales de cumplimiento siguen esperando una regulación especial de la entidad reguladora/supervisora competente sobre los Programas de Transparencia y Ética Empresarial exigidos por la misma normativa en su Artículo 9º como punto de partida para adoptar el modelo de gestión de riesgos delictivos que corresponda, lo cual constituye un retardo no justificado. Esto último, en virtud de que el régimen de responsabilidad administrativa derivada de delitos que prevé el citado Artículo 2º comenzó a operar desde el momento mismo de entrada en vigor de la norma. Esto significa que si hoy se llega a cometer por parte de cualquier empleado de la organización uno de los múltiples delitos que prevé dicho precepto, la persona jurídica podría verse expuesta a las graves consecuencias legales que prevé la misma normativa.
De conformidad con el deber de supervisión y control inherente a quien ostenta la función de cumplimiento dentro de una organización, resulta imperativo que dicho delegado determine bajo las metodologías aplicables a esta materia cuáles de esos múltiples tipos delictivos que prevé la norma serían susceptibles de materializarse en su organización según sus características (objeto, actividades, contrapartes, etc.). Los Programas de Transparencia y Ética Empresarial que prevé la misma norma, justamente, son los que permiten la administración apropiada de los riesgos resultantes de tal proceso de evaluación, sin que deba esperarse a que se expida una regulación específica para tal efecto.
Dado que este deber de gestionar el riesgo legal derivado de potenciales eventos delictivos dentro de la organización no está sujeta a la expedición de una regulación sobre tales programas, sino que se deriva de su deber como delegado de cumplimiento de advertir aquellos escenarios delictivos que pueden generarle consecuencias legales a la organización que representa, entonces resultan pertinentes los estándares o normas técnicas orientadas específicamente a la gestión de riesgos penales. Así, por ejemplo, en los países de América Latina viene haciendo carrera la norma UNE 19601 desarrollada para la gestión de riesgos penales asociados al régimen de responsabilidad penal de personas jurídicas en España, teniendo en cuenta la vocación transnacional de la norma. Sin embargo, Colombia no ha sido ajena a esta necesidad de tecnificar normativamente la gestión de riesgos penales, en donde cabe destacar la reciente NTC 6671:2023 sobre “Sistemas de Gestión del Compliance Penal y Ético. Requisitos” desarrollada por el ICONTEC, expresamente fundamentada en la reconocida ISO 37301:2021 sobre “Sistemas de Gestión del Compliance”.
La segunda razón tiene que ver, precisamente, con el mandato mismo que cumple dicha área o encargado de cumplimiento dentro de la organización como “delegado de supervisión” de la alta dirección frente al deber de precaución (vigilancia y control) que es inherente a todo órgano de administración. Para advertir la importancia de gestionar los riesgos penales que se ciernen sobre los administradores en Colombia (incluyendo los gestores públicos), simplemente llámese la atención sobre las múltiples investigaciones y sanciones penales que se han adelantado e impuesto, respectivamente, sobre dichos gestores a causa de la comisión de delitos en posiciones delegadas especialmente críticas dentro de sus respectivas organizaciones.
La pregunta que debe resolverse en el anterior supuesto, por tanto, es si debe el área o encargado de cumplimiento apoyar la gestión de riesgos penales que se ciernen sobre dichos administradores en razón de la posición de garantía que ostentan los últimos (deber de evitabilidad criminal). Mi consideración es que el mismo mandato que emerge sobre los encargados de cumplimiento con la Ley 2195 de 2022 de identificar, medir, evaluar, controlar y monitorear los riesgos delictivos propios que emergen sobre la persona jurídica que representa, le permitiría extender el alcance de su programa o sistema de gestión del Compliance a los riesgos penales que recaen sobre dichas posiciones directivas en razón del deber de supervisión y control que tienen sobre sus delegados.
La reciente NTC 6671:2023 sobre “Sistemas de Gestión del Compliance Penal y Ético”, sin lugar a duda, confirma la necesidad que tienen las áreas de cumplimiento de orientar sus programas de cumplimiento bajo este nuevo enfoque. Por si sirve de algo el ejemplo para comprender la relevancia de adoptar este perspectiva de gestión de riesgos penales, reséñese que el Código Penal español no obliga expresamente en su articulado a adoptar un modelo de prevención de delitos o sistema de gestión del Compliance penal, so pena de imponer una sanción por su no implementación. Lo que sucede es que si se llega a cometer un delito de los generadores de responsabilidad penal para la organización, ésta puede beneficiarse de dicho modelo a título de atenuante o eximente de responsabilidad. En caso contrario, lo que procede es la imposición de las sanciones que correspondan. Esto es exactamente lo mismo que sucede en Colombia con la Ley 2195 de 2022. Lo propio sucede con los riesgos penales que se ciernen sobre los administradores: no hay norma alguna en el ordenamiento que le compela a adoptar un programa de cumplimiento para gestionar los riesgos penales que recaen sobre sí en su condición de administrador. Sin embargo, en caso de concretarse, la justicia es la primera en reclamarle o cuestionarle por no haber adoptado mecanismos idóneos para mantener los riesgos delictivos de sus delegados dentro de límites permitidos (¿eligió apropiadamente a su delegado?, ¿le vigiló idóneamente según las exigencias del cargo o función?, ¿le corrigió en caso de advertir desviaciones?, etc.).
La NTC 6671:2023, naturalmente, no incorpora múltiples aspectos fundamentales para la gestión de riesgos penales, los cuales son propios de la dogmática penal, su previsión legal y las líneas jurisprudenciales consolidadas sobre determinados tópicos (delegación de funciones, principio de confianza, imputación objetiva, comisión por omisión, posición de garantía, deberes de vigilancia y control, etc.). No obstante, sí presenta un marco general válido para la conjunción entre estas instituciones o figuras penales con las propias de los sistemas de gestión (de Compliance, en este caso). Es labor del área o encargado de cumplimiento apoyar la gestión de potenciales eventos delictivos en su organización, entre otras cosas, como ya se indicó, porque la Ley 2195 de 2022 prevé infinidad de delitos por los que puede ser declarada legalmente responsable la persona jurídica que representa y porque su mandatario natural, el órgano de administración o directorio, puede también eventualmente ser imputado por los delitos de sus delegados.
