o según su composición humana, dónde puede surgir un problema y eso,
a esa descripción potencial, se le llamará el mapa de riesgos.
El mapa de riesgos identificará, podemos tener este problema o este otro,
de acuerdo a nuestra causada actividad.
Por supuesto que hay problemas penales que los puede tener cualquier empresa con
independencia de que sea o no sea de una materia, de una especialidad,
o de una actividad concreta, como pueden ser los delitos tributarios,
los delitos societarios, los delitos de corrupción de empleados públicos,
esos son ajenos a la especie concreta de actividad.
Pero lo que sí que es preciso, es que esos programas que detectan riesgos,
que explican qué medidas se imponen, hayan sido, en primer lugar,
conocidos, publicados, difundidos,
que estén bien conocidos por los trabajadores, que incluso puedan ser
conocidos por los medios públicos de control de la actividad empresarial.
Actualmente, las empresas tienen.
Porque you lo dispone la ley de sociedades de capital,
tiene unos deberes propios de organización y de control, pero, además de eso,
la Compliance, en modelo de organización, va más allá de eso.
Pero eso también tiene que ser conocido no solamente fuera sino también,
no solamente dentro sino también fuera de la propia organización si es preciso.
Naturalmente todo esto, el tener una Compliance bien hecha,
en haberla elaborado, el haber descrito los riesgos, haber descrito los
modos de prevención de esos riesgos, puede llegar a la capacidad humana.
Indudablemente, ante el proyecto el deseo delictivo de un sujeto,
el deseo intencional incluso, no hay plan de prevención que lo pueda evitar.
Sería terrible que le derecho dijera,
si a pesar de todo no habéis sido capaces de evitarlo, entonces os castigo igual.
Por eso precisamente es cierto que se puede invitar,
apelar la persona jurídica mostrando la existencia de un plan del prevención del
riesgo razonablemente suficiente para evitarlo o para hacer desistir
o para motivar en contra de la acción a los que están dentro de la empresa.
Pero el riesgo se puede producir y cuando se produce el riesgo y cuando se
materializa, es cuando el juzgado tendrá que valorar si el plan de prevención
era lo razonable que se podía pedir, en cuyo caso puede excluir la responsabilidad
o puede estimar que era un plan de prevención de riesgos, es decir, un modelo
organización y de funcionamiento que en sí mismo era incapaz de prevenir el riesgo.
Por ejemplo, si la empresa tenía como costumbre habitual
en materias delicadas subcontratar sin controlar a quien se subcontrata,
realmente eso no es un modelo de prudencia en la prevención de los riesgos.
Pues bien, si se cumplen esas condiciones,
naturalmente que se puede producir la exclusión total de responsabilidad penal.
Pero claro, he dicho antes y creo que es importante repetirlo,
que un plan en sí mismo, si no ha sido conocido,
no ha sido puesto a disposición de todos los miembros de la empresa, de la
persona jurídica, no sirve para nada, debe ser difundido y tiene que ser enseñado.
Incluso hay planes de esa naturaleza que contienen sanciones para
aquellos miembros de la persona jurídica que lo hayan despreciado, sanciones
que pueden incluir hasta el despido del trabajador que lo haya despreciado.
Pero, además de todo eso, para imponer sanciones y para saber que alguien lo ha
cumplido o que no lo ha cumplido o que lo ha despreciado,
hace falta que se comprenda que el plan en sí mismo no deja
de ser un documento plasmado en criterios organizativos, pero tiene que haber
alguien que se ocupe de controlar lo que de verdad está pasando.
Claro, de ahí nace la importancia máxima que en el sistema de Compliance ha
recibido una figura que es el oficial de cumplimiento, es decir,
el responsable, la persona responsable de verificar que se está cumpliendo
con el plan y de verificar que no hay desviaciones,
y en su caso, que esto es más delicado, denunciar a quien tiene el poder de
sancionar, si es que en la organización de esa concreta empresa no le han dotado a él
mismo del poder directo de sancionar, que también puede ser,
a fin de que ese documento, que son intenciones, se transforme
en una realidad operativa en el día a día del funcionamiento de la empresa.
Ahí viene el siguiente problema.
Las empresas son muy diferentes en tamaño.
Debemos tener en cuenta que en España cerca del noventa y tantos por ciento de
las empresas son pequeñas y medianas o pequeñísimas y medianas,
y solo son grandes empresas un porcentaje muy pequeñito,
muy pequeñito del total de empresas, con independencia de que esas muy poquitas
puedan tener un porcentaje muy alto del total de la masa laboral española,
eso es un tema distinto, ¿verdad?
Entonces claro, las empresas de tamaño pequeño no pueden permitirse,
tal vez, organizar un órgano concreto y especifico dentro de la
empresa que se dedique a la verificación del cumplimiento de tanta organización,
no pueden porque igual son en total, siete, ocho, nueve personas y que muchas
veces los directivos trabajan también y hay una especie de actividad más cercana
a la familiar que a la de la organización compartimentada de las grandes empresas.
Por eso la ley contempla la posibilidad de que la fiscalización, el control,
el oficial de cumplimiento, esa actividad pueda ser desarrollada tanto por
un órgano de la propia persona jurídica, por ejemplo su consejo de administración
también se ocupará de fiscalizar, o si es you de tamaño grande,
de acuerdo con los criterios legales que determinan la frontera entre empresas
pequeñas y empresas grandes, hay un orden al modelo de funcionamiento de ese órgano,
del órgano de control, en cuyo caso podrán crear,
deberán crear un órgano específico separado del propio consejo
de administración, que será ese órgano el que tendrá el deber de fiscalizar.
Claro, el deber es jurídicamente una posición delicada para el que lo ejerce.
Delicada por dos motivos, el primero es que tiene que actuar con total
independencia de criterio, no permitir que el órgano que le ha nombrado le pueda
manipular porque, si es así, el modelo de Compliance you dejó de funcionar.
¿Cómo sabemos si el controlador es controlado?
¿Cómo sabemos si se cumple la máxima ciceroniana [EXTRANJERO]?
Pues no lo sabemos.
Hace falta todavía mucho rodaje a estas instituciones.
El segundo problema es que si el controlador no es controlado,
puede trabajar con entera libertad pero permite lo que no debe de permitir,