Por: Jorge Andrés Amézquita T.
Contrario a lo que podría pensarse ante la inexistencia de un régimen de responsabilidad penal formal de personas jurídicas en Colombia, tras la entrada en vigor de la Ley 2195 de 2022, las corporaciones en general deberán comenzar a familiarizarse con dos herramientas: la matriz y el mapa de riesgos penales. Sí, riesgos penales, pues a pesar de que la norma en comento hable de responsabilidad administrativa, como recordaremos seguidamente, su fuente es estrictamente penal (el Código Penal).
Entre las muchas inquietudes que viene generando la norma, se encuentra la forma en que habría de gestionarse el riesgo de corrupción en el sentido que expresa dicho cuerpo normativo (entiéndase, su identificación, medición, valoración, control y monitoreo). Y ello porque, tras revisar el contenido del nuevo régimen de responsabilidad administrativa de personas jurídicas por delitos que prevé la norma, es evidente que ciertas corporaciones podrían ser eventualmente sancionadas a causa de una cantidad importante de tipos penales, entre ellos, los que atentan contra la Administración pública (tráfico de influencias, cohecho, celebración de contratos sin cumplimiento de requisitos legales, etc.), orden económico y social (delitos contra el sistema financiero, lavado de activos, contrabando, etc.), medio ambiente (deforestación, contaminación ambiental, etc.), financiación de grupos terroristas y de delincuencia organizada, además de la serie de delitos consagrados en la propia Ley 1474 de 2011 (Estatuto Anticorrupción), entre otros, corrupción privada, administración desleal, tráfico de influencias de particular, evasión fiscal y enriquecimiento ilícito.
La primera pregunta tiene que ver con las instrucciones (regulación o reglamentación) que deberán impartir las respectivas superintendencias o autoridades de inspección, vigilancia o control frente al mandato efectuado por la norma, según la cual, tales entidades deberán determinar el contenido de los Programas de Transparencia y Ética Empresarial (PTEE) para sus vigiladas. Esta pregunta general reconduce hacia varias cuestiones específicas, entre otras: ¿omitirán, reducirán o mantendrán dichos organismos en sus respectivas normas de desarrollo el mismo catálogo de tipos penales expresamente detallados por la norma legal?, ¿podría desconocer el regulador lo que consagra una norma con rango de ley en lo que a la reducción de tipos penales respecta?, ¿qué alcance se le otorgaría a tales delitos (riesgos) en dichas normas de desarrollo en caso de optar por su inclusión?
Lo cierto es que si se llegase a materializar uno de los riesgos que contempla la norma con rango legal (la Ley 2195) y el respectivo PTEE de la corporación correspondiente no lo hubiere previsto dentro de su mapa de riesgos penales y la matriz de riesgos subyacente, será poco probable que dicho programa pueda ofrecerse como mecanismo (prueba) de descargo en el proceso administrativo-sancionatorio adelantado frente a la persona jurídica, cuando ésta no lo ha previsto siquiera como riesgo (no lo ha identificado, medido y valorado para emprender su respectivo control). Recuérdese que, como lo hemos desarrollado en otro escrito, tal como está concebido el texto de la Ley 2195, constituye un presupuesto de responsabilidad administrativa de la persona jurídica por delitos, el haber “consentido” o “tolerado” el hecho ilícito respectivo, atendiendo o considerando a sus correspondientes “controles de riesgo” (naturalmente, controles del riesgo materializado). Por el contrario, en caso de haber identificado, medido, valorado y establecido los controles razonables tendientes a reducir su nivel de exposición a partir de los elementos determinados para el PTEE, pensamos que este tercer presupuesto no podría acreditarse frente a la persona jurídica (esto es, no se cumplirían los presupuestos para su sanción).
En línea con lo anterior, la segunda gran pregunta que surge en este punto es cómo llevar el referido grupo de tipos penales (riesgos) a las matrices y mapas de riesgos comúnmente desarrollados por los encargados de cumplimiento en Colombia, típicamente, concentrados en pocos riesgos de orden criminal (lavado de activos, financiación del terrorismo y soborno transnacional, fundamentalmente). La respuesta resulta sencilla: seguir la misma metodología utilizada para estos riesgos ya tradicionales. El gran problema es que si se es riguroso con tal metodología, dichas matrices de riesgos deberían tomar uno a uno los escenarios delictivos que establece la normativa para identificar qué procesos de la organización podrían estar expuestos a tales categorías delictivas.
Como se advierte, dicho ejercicio de identificación de riesgos no resultará tan sencillo como tomar cada uno de los delitos y llevarlos de manera general a una matriz y seguidamente intentar determinar su probabilidad de materialización e impacto sin reflexionar sobre los eventos que lo harían factible (probable). Es como si, en nuestra ya consolidada tarea de evaluar riesgos de lavado de activos, llevásemos el tipo penal descrito en el Artículo 323 de Código Penal a la matriz de riesgos. ¿Verdad que ello es incorrecto? En este sentido, surge la pregunta sobre qué camino tomar al momento de evaluar la gran cantidad de nuevos riesgos que consagra la Ley 2195 de 2022, muchos de ellos susceptibles de presentarse en una organización.
Tomando como referente aquellos países que consagran la responsabilidad penal de personas jurídicas, particularmente aquellos en los que se ha incluido un catálogo importante de delitos susceptibles de cometerse por las personas jurídicas, parece que no son del todo acertados aquellos métodos de identificación de riesgos penales en los que sólo se lleva el tipo penal a la matriz, aunque esté vinculado a un proceso determinado, por ejemplo, cuando se asocia el tipo penal de corrupción privada al proceso de compras de la organización. Volviendo al citado supuesto de lavado de activos, es como si en el acto de identificación de riesgos en este plano (sobre el mismo proceso de compras), simplemente dijésemos que tal actividad presenta riesgo de lavado de activos. ¿Verdad que esto también es insuficiente? Insuficiente, porque quienes conocen y ejecutan bien esta tarea dentro de las organizaciones hacen un barrido de proceso a proceso, realizando un ejercicio de prognosis sobre los posibles eventos específicos de riesgo relacionados con el riesgo -general- de lavado de activos que tendrían la potencialidad de materializarse en el marco de las actividades vinculadas al respectivo proceso.
En consecuencia, el hecho de que la Ley 2195 de 2022 consagre una serie relevante de nuevos riesgos que deben consagrarse en las matrices y mapas de riesgos criminales de la organización, no tiene por qué implicar cambios en la dinámica, mecánica y metodología empleada para identificar, medir, valorar y controlar riesgos. Sólo que ahora se tornará algo más dispendioso y demorado.
Un aspecto relacionado con la anterior deducción (luego de realizar una interpretación sistemática y metodológica de la Ley 2195 frente a este aspecto), es que el riesgo de corrupción no puede tomarse como si el término se identificase con un concreto tipo de delictivo, como sucede, por ejemplo, con los riesgos de lavado de activos, financiación del terrorismo y soborno transnacional, los que tienen un tipo penal que los representa, respectivamente, dentro del Código Penal. Por un lado, porque la misma definición de corrupción que establece la Ley 2195 en el Parágrafo 1 de su artículo 59, alude expresamente a varios títulos del Código Penal. Y, por otro lado, porque todas aquellas conductas que pueden inscribirse dentro del concepto genérico de corrupción pueden presentar una estructura muy diversa, como, por ejemplo, el clásico delito de cohecho frente al de corrupción privada, no tanto porque el primero se inscriba dentro de lo delitos contra la Administración pública y el segundo contra el Patrimonio económico, sino porque se concretan en forma distinta con relación a un mismo proceso de la organización. Así, por ejemplo, mientras el riesgo de cohecho podría estar representado en eventos -de riesgo- como el ofrecimiento de una coima por parte de un delegado de la empresa a determinada persona con capacidad de decisión dentro de una entidad pública que ha abierto un proceso de licitación, el de corrupción privada puede comportar una lógica inversa, en donde la empresa sea la “víctima” del acto de soborno por parte de un determinado proveedor.
Y así podríamos recorrer cada uno de los tipos penales anticipando posibles eventos de riesgo en torno a los distintos procesos de la corporación. En este sentido, como se ha indicado, la respectiva matriz de riesgos no podría conformarse con señalar distintos tipos penales en forma abstracta sin aterrizarlos a procesos y eventos de riesgo concretos, recordando además que son las actividades vinculadas a tales procesos las que suelen albergar las causas de cada riesgo.
Como se habrá podido advertir, la gestión de riesgos penales corporativos y su representación gráfica (matrices y mapas de riesgos), no es sólo cosa de países en los que se encuentra vigente un régimen de responsabilidad penal de personas jurídicas (en sentido estricto). La fuente de responsabilidad legal para corporaciones establecida por la Lay 2195 de 2022 bebe de tipos penales (muchos tipos penales). Ante este nuevo escenario, por lo visto, resulta pertinente que las áreas de riesgos y de cumplimiento se integren mucho más con los asesores penalistas de la empresa (internos o externos), si lo que se busca es que el respectivo PTEE atienda en forma efectiva los distintos escenarios delictivos que establece la norma. Cobra en este punto, en el mismo sentido, la relación entre Compliance y derecho penal corporativo.
