Sobre el proyecto de Reglamento de la Ley 30424 de responsabilidad «administrativa» (penal) de las personas jurídicas

El proyecto de reglamento tiene como objeto establecer y desarrollar los estándares y requisitos mínimos de los modelos de prevención en las personas jurídicas

Dino Carlos Caro Coria

Virginia del Pilar Naval Linares
División de Cumplimiento de Caro & Asociados

El 27 de febrero de 2018, mediante la Resolución Ministerial 00061-2018-JUS, el Ministerio de Justicia y Derechos Humanos, dispuso la publicación del Proyecto de “Reglamento de la Ley 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional”, en su portal institucional; a fin de recibir sugerencias, comentarios o recomendaciones de las entidades públicas, instituciones privadas, organizaciones de la sociedad civil y personas naturales en general, dentro del plazo de 15 días calendario. El referido proyecto ha sido elaborado por el Ministerio de Justicia y Derechos Humanos y el Ministerio de Economía y Finanzas, sobre la base de la propuesta del Ministerio de la Producción.

Lea también: Leaders League: Los mejores abogados del Perú en delitos de cuello blanco [2018]

El proyecto de reglamento tiene como objeto establecer y desarrollar los estándares y requisitos mínimos de los modelos de prevención que las personas jurídicas de manera voluntaria pueden implementar en su organización con el fin de prevenir, identificar y mitigar los riesgos de comisión de delitos. Recordemos que de conformidad con el artículo 17 de la Ley 30424, modificada por el Decreto Legislativo 1352, el contenido de modelo de prevención que puede dar lugar a que la persona jurídica esté exenta de responsabilidad ante la comisión de los delitos comprendidos en la ley, se debía desarrollar a través de un reglamento.

Lea también: Lea el proyecto de Reglamento de la Ley que regula la responsabilidad administrativa de las personas jurídicas (Ley 30424)

1. Principales aportes del proyecto de reglamento

A través del proyecto, se hace una clasificación de las personas jurídicas, para efectos de las exigencias del modelo de prevención, del modo siguiente: (i) Gran empresa (ventas anuales superiores a 2300 UIT); (ii) Mediana empresa (ventas anuales superiores a 1700 UIT, hasta 2300 UIT); (iii) Pequeña empresa (ventas anuales superiores a 150 UIT, hasta 1700 UIT) y (iv) Micro empresa (ventas anuales hasta el monto máximo de 150 UIT).

En el proyecto se definen las fases estratégicas para la prevención y gestión de riesgos: (i) Identificación de riesgos, (ii) Evaluación de riesgos, y (iii) Mitigación de riesgos.

Se establece que la persona jurídica debe identificar los factores, tipos y esquemas de riesgos a los que pueda estar expuesta. Y debe detectar, reconocer y describir los riesgos (legales, comerciales u operativos, económicos y reputacionales) en sus procesos más relevantes en el marco de su actividad comercial u objeto social.

Lea también: «Criminal compliance» y responsabilidad penal de las personas jurídicas (Ley 30424)

Luego de la identificación, se precisa que se deben evaluar los riesgos, esto es, estimar la magnitud de los riesgos inherentes, en términos cuantitativos y/o cualitativos; reconocer su trayectoria, a efectos de minimizarlos, y controlarlos eficazmente.

El proyecto señala además que, la evaluación de estos riesgos, es un examen sistémico que debe permitir la determinación de la probabilidad de materialización de los riesgos identificados, así como el impacto que tendría en la persona jurídica, a fin de establecer los niveles de prioridad que debe asignarse a cada uno de ellos.

Como última fase estratégica, está la mitigación de riesgos, que según el proyecto genera la obligación de asumir e implementar controles y medidas de prevención, detección o corrección; sobre la base de la identificación y evaluación de riesgos.

Por otro lado, en el proyecto de reglamento se numeran los elementos mínimos que debe tener el modelo de prevención contenido en el artículo 17.2 de la Ley 30424, que son los siguientes: (i) identificación, evaluación y mitigación de riesgos; (ii) un encargado de prevención designado por el máximo órgano de gobierno, que debe ejercer su función con autonomía; (iii) la implementación de procedimientos de denuncia: (iv) la difusión y capacitación periódica de modelo de prevención y (v) la evaluación y monitoreo continuo del modelo de prevención.

Lea también: ¿Cuál es la naturaleza de la responsabilidad «administrativa» de las personas jurídicas?

A continuación, se enumeran otros elementos facultativos a adoptar por las personas jurídicas, sobre la base del principio de autorregulación: (i) políticas para áreas específicas de riesgos, (ii) registro de actividades y controles internos, (iii) integración del modelo de prevención en los procesos comerciales de la persona jurídica, (iv) designación de una persona y órgano auditor interno, (v) implementación de procedimientos que garanticen la interrupción o remediación rápida y oport una de riesgos, y (vi) mejora continua del modelo de prevención.

Cabe señalar que, respecto a las medianas, micro y pequeñas empresas (conforme a la clasificación ya referida), se les exige que por lo menos cumplan con alguno de los requisitos mínimos, estándar distinto, dada su naturaleza y características. En el caso de estas empresas, se establece que mediante resolución ministerial, dentro de 60 días calendario, se aprobarán los formatos de modelo de prevención que les serán exigibles.

Un aspecto relevante que deriva del proyecto, es la obligación de la persona jurídica de establecer medidas disciplinarias y/o sanciones a quienes incumplan el modelo de prevención de la organización y comunicar los mismos a las autoridades competentes; ello, a efectos de garantizar la remediación rápida y oportuna de riesgos,

Asimismo, conforme al proyecto, dentro del modelo de prevención se debe implementar procedimientos de denuncia que permitan a las personas jurídicas o naturales reportar cualquier intento, sospecha o acto de delito; así como cualquier otro acto que importe el incumplimiento o debilidad de su modelo de prevención.

Lea también: Recomendaciones para implementar un plan de compliance o prevención de delitos en una empresa

Por último, el proyecto detalla los procesos de verificación de implementación y funcionamiento del modelo de prevención que debe realizar la Superintendencia de Mercado de Valores, previo a emitir el informe técnico al que se refiere el artículo 18 de la Ley 30424 que podría dar lugar al archivo de todo lo actuado. Los procesos exigidos son los siguientes: (i) análisis y corrección de los riesgos inherentes y residuales; (ii) compromiso y liderazgo de los órganos de gobierno; (iii) autonomía y recursos; (iv) políticas y procedimientos; (v) evaluación de riesgos; (vi) formación y comunicaciones; (vii) informes confidenciales e investigación; (viii) incentivos y medidas disciplinarias; (ix) mejora continua, pruebas periódicas y revisión; (x) gestión de terceros; y (xi) fusiones y adquisiciones.

2. Comentarios al proyecto de reglamento

Los alcances que brinda el Proyecto de Reglamento de la Ley 30424, a efectos de establecer un estándar de programa de cumplimiento a nivel nacional son importantes y constituyen un gran avance regulatorio en la materia.

 Se puede notar –de la lectura de la Exposición de Motivos del proyecto– que se ha tomado como base normativa de calidad internacional, los siguientes instrumentos: (i) la norma internacional ISO 37001:2016, Sistemas de gestión antisoborno. Requisito con orientación a su uso, (ii) la norma técnica peruana NTP-ISO 37001:2017, Sistemas de gestión antisoborno. Requisitos con orientación a su uso, (iii) la norma internacional ISO 19600, Gestión de compliance; (iv) la Guía de Buenas Prácticas sobre Control Interno, Ética y Cumplimiento de Normas, del Consejo de la OCDE; (v) la Guía Práctica – Programa anticorrupción de ética y cumplimiento para las empresas de la UNODC; y (vi) Ética Anticorrupción y Elemento de Cumplimiento, Manual para empresas de, de la UNOC, OCDE y Banco Mundial.

Lea también: Descarga en PDF «El derecho penal económico en la era compliance»

Sin embargo, a pesar de estas intenciones, podemos advertir ciertas deficiencias conceptuales que no se adecúan a los propios estándares citados por el proyecto, o por lo menos, generan confusiones a ese respecto.

Por un lado, tenemos que en el desarrollo del proyecto de reglamento se da un mal uso de los términos uniformizados por la normativa de cumplimiento.

Por ejemplo, en el segundo párrafo de la primera disposición final y complementaria del Proyecto de Reglamento se consigna que “la función de encargado de prevención puede ser asumida por el Oficial de Cumplimiento a dedicación exclusiva y no exclusiva, designado ante la UIF-Perú. La única función adicional que puede desempeñar un Oficial de Cumplimiento a dedicación exclusiva es la de encargado de prevención”.

Pues bien, el proyecto distingue inexplicablemente al “oficial de cumplimiento” del “encargado de prevención”[1], cuando lo cierto es que se trata de la misma persona; pues, en el Perú, el encargado de velar por el sistema de prevención es el oficial de cumplimiento, en palabras de la normativa de la Unidad de Inteligencia Financiera de la SBS.

La nomenclatura evidentemente puede diferenciarse en cada legislación o normativa interna, no obstante, los estándares de calidad en materia de cumplimiento optan por describir las funciones de este encargado de prevención más allá del nomen iuris, por lo que, la distinción que se hace en el proyecto genera confusiones.

Lea también: Lea el nuevo proyecto de ley que propone regular las «concentraciones empresariales»

Por ejemplo, en las normas técnicas de habla hispana de la certificación ISO 37001[2], se utiliza el término “función de cumplimiento antisoborno”, para denominar a la persona o grupo de personas “con responsabilidad y autoridad para la operación del sistema de gestión antisoborno”; por su parte en la norma técnica española del ISO 19601[3] se utiliza el término “órgano de compliance penal”, para designar al “órgano dotado de poderes autónomos de iniciativa y control al que se confía la responsabilidad de supervisar el funcionamiento y observancia del sistema de gestión de compliance penal”. Y, en la norma técnica del ISO 19600 se emplea el término “función de compliance para referirse a la persona o personas “con responsabilidad para la gestión del compliance”[4].

Asimismo, advertimos que en el Proyecto de Reglamento no se prevén las condiciones que debe cumplir el “encargado de prevención”, lo que consideramos esencial pues sobre él recae la importante responsabilidad de supervisión del sistema de gestión de riesgo. El proyecto se limita a señalar sus funciones, autonomía e independencia, mas no se precisan sus competencias, a diferencia de los estándares internacionales; como el ISO 37001.

La persona que ejerza la función de cumplimiento antisoborno debe tener la “educación, competencia o experiencia apropiada, la capacidad personal para afrontar las exigencias de la función y la capacidad para aprender sobre el papel y realizarlo adecuadamente”; o el ISO 19600, que propone las siguientes cualidades: (i) integridad y compromiso con compliance, (ii) habilidades de comunicación eficaz y de capacidad de influencia, (iii) capacidad y prestigio para que sus consejos y directrices tengan aceptación, y (iv) competencia necesaria.

Por último, cabe anotar que más allá del señalamiento de controles de y medidas de corrección de los riesgos y canales de denuncia; en el proyecto no se establecen las medidas que deberían tomar las empresas ante la materialización de actos delictivos en la organización o desde la organización. Lo anterior, resulta esencial, pues el sistema de gestión de riesgos cobrará sentido no solo si los mecanismos de prevención son efectivos, sino también si de cometerse actos ilícitos estos pueden ser reparados adecuada y oportunamente.

“Si vis pacem, para bellum”, “si quieres la paz, prepárate para la guerra”, la frase de Publio Flavio Vegecio escrita en su Epitoma rei militaris a fines del siglo IV DC, es aquí representativa. Un sistema de compliance no está completo si no incluye reglas, procedimientos y protocolos de reacción ante la comisión de un delito, tratamiento con los autoridades y colaboración con la justicia, las normas ISO y la Ley 30424 no regulan este aspecto trascendental, el reglamento debiera incorporarlo.

7 Mar de 2018 @ 18:34