La responsabilidad del «compliance officer», por Ian Paul Galarza

La vigencia de la Ley 30424 ha conllevado que las empresas afronten la tarea de implementar un modelo de prevención de delitos (MPD). Muchas, como primera acción, han iniciado esta implementación designando al encargado de prevención o compliance officer (CO). Sin embargo, no es una decisión que deba ser tomada a la ligera, pues no definir claramente las responsabilidades que deberá asumir el CO, establecer las condiciones para que las ejerza eficazmente o una mala elección de la persona podrían conllevar que el MPD fracase.

Pero, ¿cuáles son las principales responsabilidades que debe asumir el CO? La NTP ISO 37001, en el numeral 5.3.2, señala las siguientes: a) supervisar el diseño e implementación del MPD, b) asesorar sobre los alcances del MPD, c) asegurar que el MPD cumpla con requisitos exigidos en la norma de referencia y demás exigidos por ley, e d) informar al órgano de gobierno o la alta dirección de la empresa sobre el desempeño del MPD.

Por otro lado, para que estas tareas puedan ser ejecutadas es indispensable que el CO tenga a su disposición los recursos necesarios para tal cometido. Es decir, se le confiera dentro de la organización la autoridad e independencia suficiente para realizar sus funciones sin obstáculos y, finalmente, pero no menos importante, que tenga acceso directo al órgano de gobierno o alta dirección de la empresa para que cualquier hecho reportable sea elevado a estas instancias sin inconveniente alguno.

Las principales características que debe tener la persona que asumirá la tarea de ser CO las encontramos en el anexo A.6.2 de la citada NTP ISO 37001. Se le exige que tenga: a) competencia, entendida como la educación o experiencia apropiada; b) liderazgo, para que sus recomendaciones sean escuchadas; c) autoridad, entendida como el tener la jerarquía suficiente para cumplir las tareas propias de ser CO; e d) independencia, esto es que no se encuentre involucrado en las actividades expuestas a los riesgos que precisamente deberá gestionar.

Planteado lo anterior, cabe preguntarse: ¿será penalmente responsable el CO por los delitos cometidos en la empresa? En primer lugar, es necesario aclarar que cualquier responsabilidad involucrada derivará exclusivamente de los delitos comprendidos en el MPD y circunscritos en la Ley 30424. Luego, para responder la pregunta es fundamental  analizar las funciones delegadas al CO. Cabe recordar que el garante de los riesgos derivados de la actividad empresarial será primordialmente el empresario, quien podrá delegar funciones de garante en el CO, lo que conllevará que este último responda incluso como autor por haber omitido sus deberes de control y supervisión. Otra alternativa de responsabilidad, más probable, concurrirá cuando el CO no reporte ni inicie investigación ante denuncias o hallazgos hechos de su conocimiento facilitando de esta manera la comisión o continuidad de hechos delictivos en la empresa. Esta omisión, de una función propia e inherente al cargo de CO, implicará contribuir a título de participe en la comisión de un delito de otro integrante de la empresa.