Controles internos en la empresa por Alain CASANOVAS

A partir del próximo 23 de diciembre, las personas jurídicas podrán ser responsables penalmente por determinadas actuaciones ilícitas desarrolladas por su personal, con penas que incluso prevén su disolución. No obstante, se establece una circunstancia determinante para dicha responsabilidad, que es la inexistencia de controles que hayan permitido el ilícito. Aunque la norma no precisa en qué consisten, ratifica la relación directa entre los controles internos y el deber de diligencia que se espera en las organizaciones.

Los controles internos más difundidos en la actualidad nacen de la falta de fiabilidad en los reportes económicos advertida a raíz de los escándalos financieros de los años 2001 y 2002. Aunque se atribuyen vocación general, estos controles tienen en su mayoría un profundo sesgo financiero y reconocen expresamente sus limitaciones ante la voluntad deliberada de infringirlos. De ahí surge un evidente factor diferencial en el control de ilícitos penales: debe ser capaz de identificar actividades cuyos causantes se esforzarán en separar del ciclo de reporte.

Se sabe que las mejores prácticas de control de riesgos legales son el resultado de la aplicación ponderada de los protocolos de comunicación, los protocolos de actuación y los protocolos de revisión. Analizando desde esta perspectiva las directrices sobre controles penales difundidas en otros países, se obtiene una visión nítida del sistema más efectivo a utilizar.

Las autoridades federales norteamericanas, por ejemplo, consideran un factor atenuante de la culpabilidad de las organizaciones empresariales disponer de un programa efectivo para prevenir y detectar la conducta criminal. Han estudiado hasta tal punto esta materia que no sólo emiten recomendaciones acerca de su contenido, sino también sobre el modo de adaptarlo al tamaño de las empresas en cuestión: existen recomendaciones específicas para pequeñas organizaciones empresariales carentes de recursos económicos para diseñar sus propios modelos de prevención. Eso sí, para las grandes organizaciones no disponer de estos programas de prevención y detección de conductas criminales no sólo no atenúa su responsabilidad penal sino que la agrava.

Este tipo de programas, que constituyen el núcleo del Corporate Defense, requieren personas que monitoricen su aplicación y valoren periódicamente su efectividad. A través de un CMS (Case Management System) se deja trazo de la diligencia empresarial en la identificación e investigación de conductas irregulares en las empresas, aspecto esencial para descargar después su responsabilidad penal.

Alain CASANOVAS. Socio del área legal de KPMG Abogados