Por: Jorge Andrés Amézquita T.
Identificación de riesgos delictivos y su trasfondo penal según el régimen de responsabilidad de personas jurídicas establecido por la Ley 2195 de 2022
Muchas áreas de cumplimiento de las empresas siguen esperando hoy el desarrollo regulatorio de la Ley 2195 de 2022 para iniciar la formulación e implementación de los Programas de Transparencia y Ética Empresarial que dispone la norma (Artículo 9). En efecto, salvo alguna excepción (Superintendencia de Salud y Alcaldía de Bogotá), la mayoría de las superintendencias o autoridades de inspección, vigilancia y control no han expedido a la fecha los criterios para determinar el grupo de sujetos obligados a implementar tales programas y los correspondientes lineamientos que estos deben reunir.
Sin embargo, esta obligación de implementar Programas de Transparencia y Ética Empresarial que se concretará en un futuro próximo para las corporaciones no debe confundirse con el marco de responsabilidad de personas jurídicas por delitos que establece la misma norma (Artículo 2), lo cual no depende de tal desarrollo regulatorio o reglamentario, sino que viene rigiendo desde el momento mismo de entrada en vigor de la citada Ley.
Lo anterior implica que las personas jurídicas -en general-, sucursales de sociedades extranjeras, personas jurídicas que integren uniones temporales o consorcios, empresas industriales y comerciales del Estado, empresas de economía mixta y entidades sin ánimo de lucro, estarían hoy expuestas a sanciones en caso de materializarse uno de los múltiples delitos que prevé la norma de conformidad con su Artículo 2. El punto de preocupación es que muchas áreas de cumplimiento estarían en mora de evaluar esos nuevos riesgos -delictivos- que la norma recoge para su respectiva corporación, dejando consecuentemente su control a su suerte (sin control).
En razón de lo anterior, resulta importante reiterar que este régimen de responsabilidad administrativa de personas jurídicas por delitos no depende de ningún desarrollo posterior en reglamentos o circulares, pues la misma Ley 2195 de 2022 consagra en su Artículo 2 los presupuestos de responsabilidad requeridos para aplicar las sanciones que correspondan en caso de materializarse uno de esos eventos delictivos. Por tanto, los responsables de cumplimiento deben proyectar cómo desarrollar el proceso de identificación, medición y evaluación de todo ese conjunto de eventos delictivos para determinar cuáles deberán ser objeto de tratamiento (control).
Sobre este aspecto, reséñese que cuando se revisan -con el Código Penal en la mano- las conductas delictivas por las que podrían responder dichas personas jurídicas a causa de cometerse por parte de sus administradores o empleados en general, se contabilizan más de 40 delitos contra la Administración pública, más de 40 delitos contra el orden económico y social, más de 15 delitos contra el medio ambiente y más de 15 delitos contenidos dentro del Estatuto Anticorrupción. Añádase al anterior conteo, los tipos penales que puedan estar relacionados con la financiación del terrorismo y de grupos de delincuencia organizada, la administración de recursos relacionados con actividades terroristas y de la delincuencia organizada y toda conducta punible relacionada con el patrimonio público (que también son otro tanto).
De conformidad con lo anterior, se concluye que son más de 100 los tipos penales que las áreas de cumplimiento estarían compelidas a evaluar según su contexto externo e interno (identificar, medir y evaluar) de cara a determinar cuáles de ellos serían susceptibles, primero, de materializarse en la corporación según su objeto y actividades y, segundo, requerir del respectivo plan de tratamiento (control).
Seguramente, muchos de esos delitos se descartarían fácilmente por la propia naturaleza del tipo penal. Empero, frente a otros tipos penales, su identificación puede no resultar sencilla. Así, por ejemplo, en los delitos contra la Administración pública puede no resultar sencillo determinar si, de conformidad con los elementos normativos y descriptivos que integra el correspondiente tipo penal, entre otros cuestionamientos, tiene cabida un particular como autor o partícipe (o bien, sólo el funcionario público). Esto último es determinante para la debida identificación de potenciales eventos de riesgo susceptibles de generar responsabilidad legal para la persona jurídica, pues recuérdese que el presupuesto primero (i) establecido por la Ley 2195 de 2022 en su Artículo 2, exige la sanción penal o principio de oportunidad contra el administrador o empleado de la corporación, lo que nunca podría suceder por la naturaleza del delito (imputable sólo al funcionario público, por ejemplo).
Situación análoga podría suceder con otros delitos, como el de Administración desleal, pues a pesar de que la Ley 2195 de 2022 prevé este tipo penal dentro del grupo de conductas susceptibles de generar responsabilidad para la persona jurídica (según su remisión a los delitos contenidos dentro del Estatuto Anticorrupción), no se ve cómo pueda establecerse el presupuesto segundo (ii) que establece el mencionado Artículo 2 sobre el beneficio efectivo o potencial para la persona jurídica derivado de la conducta ilícita, cuando el delito de Administración desleal lo que puede producir es justamente lo contrario: un perjuicio para la persona jurídica defraudada por su colaborador.
Este tipo de reflexiones deberán plantearse con cada uno de los tipos penales que, prima facie, sean susceptibles de presentarse en la persona jurídica según su objeto y actividades. A partir de aquí, descendiendo a un plano más específico de la identificación de riesgos, se procedería con metodologías ampliamente conocidas en otros ámbitos de riesgo legal, como, por ejemplo, la aplicada en los sistemas LA/FT (SARLAFT, SAGRILAFT, etc.), esto es, identificando los potenciales eventos o sucesos de riesgo con vocación de presentarse, valorando los factores asociados (contrapartes, productos, etc.) y correlacionando los demás elementos propios de la matriz de riesgos (procesos, causas, probabilidad de materialización, impacto, controles, etc.).
En fin, lo anterior son tan sólo algunas de las cuestiones que depara la Ley 2195 de 2022 para las áreas de cumplimiento en torno al proceso de identificación de riesgos, que recordemos, no depende de desarrollo regulatorio alguno, sino que opera por el marco de responsabilidad (presupuestos) ya establecidos por la norma.3
Para ir concluyendo, como lo he señalado en otro escrito, este régimen actual de responsabilidad para personas jurídicas por delitos en Colombia debe llamar la atención de las áreas de cumplimiento, pues basta que cualquier colaborador, trabajador o funcionario de la corporación, de cualquier nivel, cargo o función, se vea inmiscuido en cualquiera de los más de 100 delitos que prevé la norma para situar a la corporación respectiva frente a este régimen de responsabilidad.
Reitérese, finalmente, que con independencia de que la persona jurídica devenga en sujeto obligado o no a implementar los Programas de Transparencia y Ética Empresarial que prevé la norma o que tal condición se adquiera en un futuro, estos programas serán determinantes para examinar la responsabilidad de la corporación por los delitos de sus directivos o colaboradores, pues como también hemos señalado en otro escrito, la aplicación de este régimen de responsabilidad a la persona jurídica exige al organismo sancionador examinar y valorar los “controles de riesgo” establecidos por la corporación para mitigar el riesgo de materialización del ilícito fuente de responsabilidad. De ahí, precisamente, la importancia de una debida identificación de riesgos delictivos dentro de la organización y la adopción de dichos programas con independencia de la condición de sujeto obligado o de la expedición de directrices sobre su contenido.