La modificación del Código Penal Español de 1995, recogida en la Ley Orgánica (LO) 1/2015, recientemente publicada en el Boletín Oficial del Estado (BOE de 31 de marzo) y cuya vigencia es a partir del 1 de julio, establece en el artículo 31 bis del Código Penal que si el delito fuera cometido por las personas jurídicas en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquéllos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma, la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión. Este modelo de gestión, que deberá estar plasmado en un documento, tanto en la metodología como en los resultados de su aplicación continua, establecerá un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que apunte el propio procedimiento de compliance officer.
¿Qué modelo de control aplicar? Algunos compañeros y compañeras en estas lides, con la mejor intención, en los cursos, ponencias, jornadas, congresos… que organizan e imparten sobre Dirección de Cumplimiento Normativo, insinúan que basta con adaptar los modelos estándar de verificación externa o interna, pero, precisamente por mi experiencia como gerente de auditoría externa y, sobre todo, director de auditoría interna, me siento reforzado en el consejo que para que sea efectivo un modelo de verificación en materia de compliance officer, deberá ser un procedimiento a la carta, es decir, exclusivo o individualizado en función de la institución (empresa, ONG, Fundación, Asociación, Cofradía…). De esta forma, se identificarán y evaluarán todos los hitos en materia de prevención, sondeando paralelamente la situación real de la entidad objeto de control, datos obtenidos fundamentalmente a través del análisis concienzudo de los flujos de información y la documentación aportada por el Consejo de Administración, Patronato, Junta Directiva… A partir de aquí ya se tendrá identificado un mapa de riesgos, visualizando las situaciones peligrosas futuras que puedan ser relevantes en términos de responsabilidad civil y penal (Fuente de la imagen: pixabay).