Giuristi: Revista de Derecho Corporativo / ISSN 2708-9894
Luis Fernando Armendariz Ochoa
Universidad Científica del Sur, Lima
Orcid: https://orcid.org/0000-0001-9125-9779
Fecha de recepción: 2/11/2024
Fecha de aceptación: 7/12/2024
Resumen
El criminal compliance es un mecanismo eficaz e idóneo para prevenir y detectar infracciones legales en las empresas en cuanto son sujetos de imputación autónomos distintos de las personas que las conforman. El estudio parte de los fundamentos teóricos de esta figura jurídica y del marco normativo estipulado en la ley que regula la responsabilidad administrativa de las personas jurídicas (Ley 30424), su reglamento y los lineamientos de la Superintendencia del Mercado de Valores del Perú. Asimismo, se explora su conceptualización, función y utilidad práctica. Se destaca que un programa de cumplimiento normativo no solo debe ser valorado por sus funciones para eximir o atenuar la pena de una empresa, sino también por su utilidad económica, debido a la seguridad que se percibe de una empresa que gestiona riesgos empresariales y maneja mecanismos de prevención, identificación y sanción eficaces.
Palabras clave: criminal compliance, autorregulación, responsabilidad social empresarial, modelo de prevención.
Abstract
Criminal compliance is an effective and suitable mechanism to prevent and detect legal violations in companies, as they are autonomous subjects of imputation distinct from the individuals that constitute them. The study is based on the theoretical foundations of this legal figure and the regulatory framework stipulated in the Law that regulates the administrative liability of legal entities (Law No. 30424), its Regulations and the guidelines of the Peruvian Securities Market Superintendence. Additionally, it explores its conceptualization, function, and practical utility. It is concluded that a regulatory compliance program should not only be valued in terms of its functions to exempt or mitigate a company's penalty, but also for its economic utility, due to the perceived security of a company that has a program that manages business risks and handles effective prevention, identification, and sanction mechanisms.
Keywords: criminal compliance, self-regulation, corporate social responsibility, prevention model.
Resumo
O criminal compliance é um mecanismo eficaz e adequado para prevenir e detectar infrações legais em empresas, como sujeitos autônomos de imputação distintos dos indivíduos que as compõem. O estudo se baseia nos fundamentos teóricos dessa figura jurídica e no marco regulatório estipulado na Lei que regula a responsabilidade administrativa das pessoas jurídicas (Lei n.° 30424), em seus Regulamentos e nas diretrizes da Superintendência do Mercado de Valores Mobiliários do Peru. Além disso, explora sua conceituação, função e utilidade prática. Conclui-se que um programa de conformidade regulatória não deve ser valorizado apenas em termos de suas funções para isentar ou mitigar a penalidade de uma empresa, mas também por sua utilidade econômica, devido à percepção de segurança de uma empresa que tem um programa que gerencia os riscos do negócio e administra mecanismos eficazes de prevenção, identificação e sanção
Palavras-chave: conformidade criminal, autorregulação, responsabilidade social corporativa, modelo de prevenção.
Actualmente, nos encontramos frente a un fenómeno de expansión del Derecho penal[1], impulsado por los constantes cambios y dinámicas de un mundo moderno y globalizado. En esta sociedad caracterizada por nuevos riesgos, el Derecho penal económico ha adquirido un papel preponderante en el ámbito penal del siglo XXI[2]. Entre los temas más recientes y destacados en nuestra legislación, la responsabilidad penal de las personas jurídicas[3]constituye uno de los más relevantes en términos dogmáticos y político-criminales. Ello, en la medida que consolida a la empresa como un sujeto de imputación autónomo, distinto de las personas que la conforman, desterrando el anacrónico principio societas deliquere non potest, perteneciente al Derecho penal clásico.
En torno a este tema, se han esbozado diversos conceptos en el ámbito del Derecho penal económico. Un claro ejemplo es el criminal compliance (denominado en español como programa de cumplimiento normativo penal). Su éxito probablemente radica en su capacidad para funcionar, dependiendo de su idoneidad, eficacia y del momento en que se implemente, como eximente de responsabilidad de la persona jurídica o como un mecanismo que atenúa la pena a imponerse contra ella. No obstante, el papel del criminal compliance no se limita a una función meramente liberadora o atenuante de responsabilidad empresarial. Su alcance es más amplio, pues permite identificar y administrar riesgos, prevenir y detectar conductas contrarias a las leyes penales, sancionarlas y desarrollar un conjunto de mecanismos que fomenten una cultura corporativa saludable tanto dentro como fuera de la empresa.
Es este contexto surgen las siguientes interrogantes: ¿Qué es el criminal compliance? ¿Cuál es la estructura de un programa de cumplimiento normativo? ¿Cuándo un programa de cumplimiento normativo es eficaz e idóneo? En el presente artículo, brindaremos respuestas a las interrogantes planteadas para contribuir al debate en torno al denominado criminal compliance y, por supuesto, al campo de la praxis.
Podemos definir al compliance, de manera amplia, como un mecanismo empresarial para prevenir y detectar infracciones legales en general. Esta herramienta de gestión parte del reconocimiento de que la actividad empresarial se produce en un contexto variado y multisectorial, lo cual genera inevitablemente la coexistencia de subsistemas normativos (laborales, tributarios, ambientales, etc.) a los que la empresa debe apegarse. Precisamente, la forma de evitar estas infracciones se materializa a través de la instauración de un sistema de cumplimiento especializado según el rubro. Así, por ejemplo, el anti-trust compliance se refiere al cumplimiento de las normas de defensa de la competencia; el tax compliance, a las regulaciones tributarias; y el trade compliance, a las disposiciones legales del comercio exterior. En este orden de ideas, podemos caracterizar al criminal compliance como aquella herramienta de regulación de conductas dentro de la empresa, que se enfoca en prevenir riesgos y detectar infracciones a las normativas penales.
La idea subyacente detrás del uso del compliance como instrumento de gestión es que las organizaciones adopten y apliquen un conjunto de normas o medidas que prevengan eficazmente posibles infracciones derivadas de sus actividades o de la complejidad de su estructura organizativa. En el caso del criminal compliance, si bien es cierto que el Estado es el encargado y legitimado para la criminalización de conductas y la sanción de los delitos (esto es, heterorregulación), no se encuentra en la mejor posición para regular las nuevas formas de criminalidad, en especial la criminalidad corporativa, sino que solo puede aspirar a ejercer algún grado de control sobre las circunstancias en las que distintas entidades interactúan entre sí.[4] Por ello, opta por promover e incentivar la implantación de un modelo basado en la autorregulación[5], imponiendo incluso a las empresas deberes de cumplimiento específicos según el rubro al que se dediquen.[6]
El objetivo es que las organizaciones opten por implementar compliance, entre otros aspectos, por su positiva repercusión en la imputación de la responsabilidad penal. Precisamente, el modelo de autorregulación regulada busca generar las condiciones para que las empresas tomen una decisión, basada en un análisis de costo y beneficio; ponderando los costos que supone incorporar un programa de cumplimiento normativo frente a los que implicaría estar en una situación de non compliance. Actualmente, con los cambios implementados por la Ley 30424 y la adecuación de los criterios de imputación objetiva en estructuras empresariales, que permiten incluir no solo a los representantes y directivos de la persona jurídica, sino también a la propia persona jurídica dentro del proceso penal, el compliance penal se convierte en el mecanismo más idóneo para preservar a la empresa de los efectos perjudiciales de la expansión en la persecución de delitos. Por ello, existen numerosos incentivos para que estas instituciones incluyan esta herramienta dentro de su cultura organizacional.[7]
La finalidad del criminal compliance de garantizar el cumplimiento de la normativa penal mediante la previsión de delitos impacta doblemente en el sistema penal. Por un lado, las medidas cautelares adoptadas desincentivan la realización de infracciones penales en el entorno empresarial, lo que se conoce en criminología como prevención situacional del delito[8]. Por otro lado, aunque se hayan cometido infracciones, la adopción de medidas de acciones preventivas —derivadas de un programa de cumplimiento idóneo y eficaz[9]— para mitigar y compensar los daños causados promueve el mantenimiento de la vigencia de la norma. Como refiere Gómez-Jara Díez[10], el núcleo de la concepción del ciudadano corporativo fiel al Derecho son los programas de cumplimiento efectivos, los cuales fungen como indicadores de que las empresas cuentan con una organización interna orientada a evitar que sean utilizadas para actividades delictivas.
En esta misma línea, se puede afirmar que el criminal compliance, como herramienta de organización dedicada a asegurar la observancia de la ley en las actividades empresariales, posee tres funciones fundamentales y diferenciadas: la prevención de delitos (función preventiva), la detección oportuna de delitos (función de detección) y la sanción eficaz o la puesta en conocimiento a las autoridades correspondientes (función represiva) para que estas ejecuten, eventualmente, una investigación y sanción.
Ahora bien, cabe añadir que en el sistema jurídico peruano actualmente coexisten dos grandes sistemas de cumplimiento normativo. El primero es el régimen de responsabilidad autónoma de personas jurídicas por actos de corrupción, lavado de activos y financiamiento del terrorismo, regulado por la Ley 30424 y su reglamento, aprobado por el Decreto Supremo n.° 002-2019JUS, que establece los casos que generan responsabilidad empresarial, las sanciones aplicables y los criterios para su graduación. El segundo está relacionado con el Sistema de Prevención del Lavado de Activos y Financiamiento del Terrorismo (SPLAFT), el cual es una obligación regulatoria para los sujetos obligados, quienes deben implementar los procedimientos y controles del SPLAFT bajo sanción administrativa de multa en caso de incumplimiento. Este sistema está supervisado por la Unidad de Inteligencia Financiera (UIF) y regulado por la Ley 27693 y su reglamento, aprobado por el Decreto Supremo n.° 020-2017-JUS, y la normativa sectorial derivada de dicha ley.
A continuación, se abordan los componentes y las funciones del modelo de prevención de delitos conforme a los lineamientos de las normas citadas, en conjunto con las recomendaciones realizadas por la Superintendencia del Mercado de Valores del Perú (SMV) a través de la Resolución SMV n.º 0062021-SMV/01.
La idea de prevención de delitos en la estructura empresarial está irremediablemente ligada a la labor de identificación y gestión de riesgos en la empresa[11]. Así, la efectividad de un buen programa de cumplimiento depende de la evaluación de amenazas. Este programa debe adaptarse a los desafíos que enfrenta cada corporación, teniendo en cuenta su campo de actividad, su tamaño, su jurisdicción y sus posibles socios comerciales. A medida que estos parámetros cambian, también lo hacen los riesgos, por lo que resulta esencial realizar evaluaciones constantes[12].
En esa misma línea, el artículo 4.4 del reglamento de la Ley 30424 reconoce el principio de continuidad como aquel por el cual «el modelo de prevención es un proceso continuo, que se adapta permanentemente a los cambios del entorno comercial y de la persona jurídica»[13]. Esto concuerda con los artículos 42 y 43 del mismo cuerpo normativo, los cuales establecen la obligación de las personas jurídicas de evaluar e incorporar procesos internos para el mejoramiento constante del modelo de prevención.
No obstante, también se debe tener en cuenta que los riesgos relevantes a mitigar se generan mayormente dentro de una cultura empresarial estructurada exclusivamente en la obtención de réditos económicos, la cual condiciona a sus agentes a utilizar cualquier medio que consideren útil y necesario para tal fin, sin importar su sentido ético, moral o legal[14]. Por ello, el reglamento de la Ley 30424 y la SMV recomiendan que los programas de cumplimiento normativo prevean la participación y cooperación de todo el personal en el proceso de gestión de riesgos[15], con el fin de consolidar una cultura de integridad corporativa frente a la comisión de delitos. Este enfoque participativo permite recabar las opiniones y recomendaciones de todos los actores económicos involucrados en el programa de cumplimiento, y promueve, además, una visión amplia de su funcionamiento a largo plazo.
Respecto al tipo de riesgo a evaluar, se trata, evidentemente, de aquellos que posibiliten la comisión de delitos[16], como los actos de corrupción y las operaciones de lavado de activos. En cuanto a este último, si bien lo usual es que la legislación no especifique las medidas a implementar, en el caso del lavado de activos no se sigue esta práctica. Por el contrario, el reglamento establece los aspectos concretos que el sistema de prevención está obligado a contener (por ejemplo, en las empresas financieras).
Esta función está más relacionada con la gestión de riesgos[17]. Una de las medidas idóneas para detectar la posible comisión de delitos dentro de la actividad empresarial es la instauración de un sistema de denuncias al interior de la entidad corporativa (Whisteblowing)[18]. Este sistema ha de estar disponible tanto para los trabajadores de la empresa como para aquellos que tengan relación con ella. Ahora bien, dado que en nuestro país no existe una obligación general de informar sobre delitos conocidos, dicho sistema debe estar dirigido a motivar un comportamiento voluntario del trabajador. Esto implica que decida revelar la información que posee sobre la comisión de un delito en el contexto de la actividad empresarial.
Siguiendo las buenas prácticas recogidas por las autoridades encargadas de evaluar los programas de prevención, la idoneidad del canal de denuncias, como componente del programa de prevención de delitos, requiere tres aspectos esenciales: a) la verificación de la correcta difusión de los procedimientos de denuncia entre los trabajadores y terceras partes relacionadas con la organización, así como la evaluación de su correcta utilización en la práctica; b) el desarrollo adecuado de las investigaciones que podrían iniciarse a partir de los hechos denunciados a través del canal interno, con roles definidos, reglas y garantías básicas, recogidas en protocolos que garanticen la independencia, objetividad y documentación del procedimiento de investigación interna; y c) la capacidad de respuesta de la organización frente a la identificación de posibles brechas o debilidades en el procedimiento de denuncias, o en el protocolo de investigación interna.[19]
Una vez que se haya introducido una denuncia sobre una posible actividad ilícita de la empresa, debe realizarse una investigación interna (internal investigation). En cuanto a lo que se entiende por este tipo de procedimiento, Sahan sostiene que «los proceso internos de investigación (…) consisten en primer lugar en el esclarecimiento de hechos que puedan dar lugar a responsabilidades de la empresa o de sus órganos de representación (la junta de dirección o la gerencia, por ejemplo)»[20]. Es importante enfatizar que, si bien esta investigación puede asemejarse a un proceso penal, su naturaleza es estrictamente privada[21]. No obstante, las pruebas recopiladas podrían ser admitidas por el Ministerio Público.
En caso de que un delito haya sido cometido en el marco de competencias de la empresa, lo conveniente sería comunicarlo a las autoridades, pues de esa forma también se demostraría la efectividad del programa de cumplimiento y se podría lograr una disminución prudencial o la eximente de una posible pena[22]. Ahora bien, además de las sanciones penales correspondientes, las buenas prácticas corporativas recomiendan instaurar un régimen disciplinario interno respetuoso de la legislación laboral, con medidas correctivas preestablecidas, proporcionales y razonables a la infracción, para disuadir actuaciones contrarias al modelo de prevención y reforzar una política de rechazo ante la comisión de presuntos delitos.
Habiendo señalado anteriormente las funciones del criminal compliance, ahora nos enfocaremos en los beneficios que ofrece. En este sentido, pueden distinguirse tres principales: su capacidad para eximir de pena, su efecto como atenuante y su impacto económico.
El criminal compliance ofrece a la empresa una organización más efectiva, por lo que contar con un modelo de prevención idóneo y eficaz la exime de responsabilidad al demostrar que no incurrió en una organización defectuosa, base del reproche penal. De esa forma, también el artículo 17 de la Ley 30424 señala que «la persona jurídica está exenta de responsabilidad (…) por la comisión de [los delitos comprendidos en el inciso 1], si adopta e implementa en su organización, con anterioridad a la comisión del delito, un modelo de prevención adecuado a su naturaleza, riesgos, necesidades y características, consistente en medidas de vigilancia y control idóneas para prevenir [los delitos antes mencionados] o para reducir significativamente el riesgo de su comisión»[23]. Respecto a la prueba de la efectividad del programa de cumplimiento, el artículo 18 del mismo cuerpo normativo impone la necesidad de contar con un informe pericial emitido por la SMV, cuyas conclusiones resultarán vinculantes para el Ministerio Público, toda vez que establecerán indefectiblemente el archivo de lo actuado o la formalización de la imputación penal.
No obstante, cabe precisar que la ausencia de un modelo de prevención o la implementación deficiente de este no fundamenta per se la imputación del delito corporativo a la persona jurídica. A tal efecto, se requiere identificar un defecto organizativo que represente un riesgo no permitido y que se materialice en alguno de los tipos penales que generan responsabilidad corporativa autónoma. Precisamente, el sistema de responsabilidad por la persona jurídica, regulado en la Ley 30424, a diferencia de los modelos de heterorresponsabilidad, se basa en la ausencia de medidas adecuadas de supervisión, vigilancia y control sobre las actividades de la empresa. Así, no basta con que una persona física cometa un hecho en nombre, o por cuenta, o en beneficio directo o indirecto de la persona jurídica; esto constituye un presupuesto de conexión con el acto ilícito que se atribuye a la entidad, como sujeto de imputación autónomo, independiente de los individuos que la integran.
En el caso de la adopción e implementación de un modelo de prevención (por ejemplo, un criminal compliance) por parte de la persona jurídica después de la comisión de un delito y antes del inicio del juicio oral, la empresa puede beneficiarse con una atenuación en su sanción[24]. Al respecto, García Cavero sostiene que «la circunstancia de que la empresa misma proceda a corregir su defecto organizativo con la conformación del criminal compliance luego de cometido el hecho delictivo, puede ser valorada favorablemente al momento de la determinación de la pena (culpabilidad reactiva)»[25]. De igual forma, la acreditación parcial de los elementos mínimos del modelo de prevención también puede dar lugar a la atenuación de la pena. Esto resulta razonable, ya que no se puede reprochar de la misma manera a una empresa que no ha hecho ningún esfuerzo por mejorar su organización que a otra empresa que, aunque de manera incompleta, ha intentado organizarse.
Finalmente, el criminal compliance no solo ofrece beneficios relacionados con la posibilidad de eximir o atenuar la responsabilidad penal, sino que también tiene un impacto positivo desde el punto de vista económico. Por su parte, Rotsch[26] señala que el objetivo del criminal compliance no es únicamente atenuar la sanción penal, ya sea del empleado de la compañía o de la empresa, sino también evitar la apariencia de un comportamiento ilegal. Expresado de forma más jurídica, desde la perspectiva de la empresa, el criminal compliance debe estar orientado a prevenir incluso la sospecha de que se ha cometido un delito. Contar con un programa de compliance eficaz promueve una cultura corporativa mucho más saludable, lo cual resulta atractivo para los inversionistas, quienes se sienten más inclinados a invertir en un entorno seguro que proyecte buena reputación. Esto también aplica para clientes, proveedores, bancos y otras instituciones financieras que valoran una relación con una empresa que respalde sus operaciones con una sólida cultura de cumplimiento.
La Ley 30424 y su reglamento regulan los requisitos mínimos de un modelo de prevención. Estos incluyen: un encargado de prevención; la identificación, evaluación y mitigación de riesgos; la implementación de procedimientos de denuncia; la difusión y capacitación periódica del modelo; y su evaluación y monitoreo continuo. A modo de referencia, también se consideran las recomendaciones realizadas por la SMV mediante la Resolución n.º 006-2021SMV/01. En el caso de los sujetos obligados, deberán observar lo establecido por la Ley 27693, su reglamento y las normas sectoriales que esta especifique. Otro punto importante es que la implementación de un modelo de prevención debe incorporar diversas normativas internacionales relacionadas con el compliance y la prevención de delitos, como la Foreign Corrupt Practices Act (FCPA), las Federal Sentencing Guidelines (en especial, lo referente al capítulo 8, la regulación en el tema de organizaciones), la Sarbanes-Oxley Act, y diversas normas ISO, entre otras.
El oficial de cumplimento, conforme a lo dispuesto por el artículo 35 del reglamento de la Ley 30424, tiene como tarea esencial velar por la aplicación, ejecución, mejora continua y observancia del modelo de prevención. Esta función puede recaer en más de una persona o incluso en un órgano dentro de la empresa. Lo sustancial es garantizar su autonomía y dotarlos de los recursos necesarios para desempeñar sus labores de manera adecuada.
Por ello, resulta aconsejable que el responsable del modelo de prevención ocupe un nivel gerencial dentro de la organización, lo que asegura la independencia y autonomía de su función. Como alternativa, esta responsabilidad puede recaer un tercero externo a la persona jurídica. La falta de autonomía puede ser razón suficiente para fundamentar un déficit organizativo en el programa de cumplimiento instaurado, ya que, si el responsable está subordinado a los intereses de la alta dirección, el cumplimiento normativo se convierte en una formalidad carente de sustancia real, lo que compromete su capacidad y objetividad para prevenir delitos.
De otro lado, la posición del encargado de prevención no implica necesariamente dedicación exclusiva ni pertenencia a la estructura interna de la organización. Dependiendo de las necesidades efectivas de la empresa, puede ser desempeñada a tiempo parcial, según lo establecido en el literal j) del numeral 10.2.1 del artículo 10 de la Ley 2769354. Sin perjuicio de ello, las buenas prácticas recomiendan que el encargado de prevención tenga dedicación exclusiva en grandes empresas, mientras que para las mipymes puede ser a tiempo parcial.
En cuanto a sus funciones, se encarga generalmente de supervisar la efectividad del criminal compliance y de revisar las operaciones de la empresa que puedan originar riesgos penales (como en la obtención de licencias o concursos públicos para obras del Estado). También se le atribuyen facultades de gestión y administración sobre los sistemas y canales de denuncias, así como la responsabilidad de reportar operaciones sospechosas, resguardar documentos de operaciones realizadas y gestionar la información de los clientes, entre otros.[27]
El oficial de cumplimiento[28] debe conocer a fondo la estructura empresarial de manera integral, desde la junta general de accionistas y el directorio, pasando por la gerencia, hasta los niveles primarios de trabajadores. No obstante, cabe precisar que la delegación de responsabilidades al encargado de prevención no exime al máximo órgano de gobierno, a la administración de la persona jurídica ni a quien cumpla dicha labor, de sus deberes de supervisión y capacitación, ni transfiere las posibles consecuencias legales de su inobservancia. Otro punto importante es determinar el perfil adecuado del profesional para asumir la posición de oficial de cumplimiento. Dado que su función principal es prevenir riesgos penales, lo recomendable sería destinar a un abogado con experiencia en el área legal de la empresa, ya que esto le permite conocer tanto su estructura como los distintos procesos que realiza. No obstante, también es recomendable solicitar asesoría de abogados expertos en cumplimiento normativo penal, quienes poseen mayor capacitación para manejar las leyes relacionadas con la materia. En su defecto, se puede considerar la opción de auditores o economistas especializados en el tema.
Al respecto, la SMV recomienda, como buena práctica de gestión, designar al encargado del área de prevención considerando las siguientes características: a) conocimiento de la organización y de los procesos críticos de las actividades del sector económico en el que opera la empresa; b) experiencia en la materia, lo cual incluye los años de servicio, grados académicos y especialización; c) solvencia moral y honorabilidad, lo cual implica una trayectoria basada en principios éticos, honestidad, integridad y buenas prácticas comerciales; y d) solvencia económica, lo que reduce el riesgo de presiones financieras en la toma de decisiones.[29]
Debemos señalar que el programa de cumplimiento tiene como objetivo principal evitar la comisión de los delitos regulados en el artículo 1 de la Ley 30424[30] (colusión simple y agravada, cohecho activo genérico, cohecho activo transnacional, cohecho activo específico, lavado de activos, financiamiento del terrorismo, tráfico de influencias y, recientemente, contabilidad paralela, atentados contra monumentos arqueológicos y extracción ilegal de bienes culturales[31]). Para los delitos restantes del Código Penal, siguen aplicándose las consecuencias accesorias establecidas en el artículo 105, que exige como condición para su imposición demostrar que el delito fue cometido por una persona física que actuaba en nombre o en representación de las actividades de la persona jurídica, o bien que utilizó la organización para facilitar o encubrir el delito.
Con base en lo anterior, el programa de cumplimiento debe enfocarse en las áreas de mayor riesgo[32] para la empresa respecto a los delitos mencionados. Esto dependerá de los rubros en los que la organización desarrolle su actividad. Por ejemplo, en el caso de realizar contrataciones con el Estado, es necesario analizar y enfocar la prevención de delitos relacionados con soborno (cohecho, colusión, etc.). Es crucial establecer una mayor fiscalización sobre las operaciones que impliquen consecuencias penales, lo cual puede lograrse mediante un mapa de riesgos. Para ello, se tomarán en cuenta factores como el tamaño de la compañía, el nivel de las inversiones realizadas, los sectores de la actividad, entre otros.[33] De esta manera, el mapa de riesgos «debe incluir a los posibles delitos que puede cometer la persona jurídica, indicando —en dos planos— la gravedad del delito y su probabilidad de comisión»[34].
En la labor de mitigación de amenazas, además de la fiscalización de relaciones y procesos donde puedan surgir delitos, conviene establecer códigos de conducta[35] para los trabajadores de todos los niveles en la organización. Aunque pueda parecer simple, fortalecer valores tiene un impacto significativo en la prevención de delitos[36].
Al respecto, las buenas prácticas recomiendan designar una persona o un órgano responsable de la identificación, evaluación y mitigación de los riesgos inherentes a las actividades de la empresa. Para tal propósito, deben establecerse las atribuciones del responsable en el Reglamento de Organización y Funciones (ROF) o el Manual de Organización y Funciones (MOF), otorgándole márgenes de decisión suficientes para garantizar un desempeño adecuado. Además, se recomienda promover la participación y cooperación de todo el personal en el proceso de gestión de riesgos, así como involucrar a los socios comerciales y partes interesadas mediante distintos niveles y canales de colaboración. Ello a efectos de implementar un enfoque participativo que permita una visión integral del funcionamiento del modelo de prevención. En este sentido, se podrían realizar entrevistas o encuestas entre los trabajadores y terceros interesados para recopilar información y documentación relevante que permita determinar el perfil de riesgos de comisión de delitos de la persona jurídica.
La regulación nacional incluye los sistemas de denuncia (whisteblowing[37]) como parte fundamental de un modelo de prevención eficaz. De conformidad con los artículos 39 y 40 del reglamento de la Ley 30424, el procedimiento comprende: el canal para reportar irregularidades, los mecanismos de protección para el denunciante, los esquemas de incentivos, el procedimiento de investigación interna y las medidas disciplinarias.
En cuanto a los canales para reportar irregularidades, estos han de ser accesibles para todos los trabajadores a través de plataformas electrónicas, como el correo electrónico o los sistemas de comunicación interna, o mediante opciones físicas, como la colocación de un buzón de denuncias[38]. En ambas modalidades, se facilitará el reporte de intentos, sospechas o la comisión de delitos comprendidos en la ley, así como de cualquier acto que implique el incumplimiento o debilidades en el modelo de prevención. Este sistema interno debe comunicarse claramente tanto a los trabajadores como a terceros vinculados con la empresa[39] para promover su uso.
Ahora bien, dado que es muy probable que algunos trabajadores tengan acceso a información sobre delitos cometidos en el ámbito corporativo, el reglamento de la Ley 30424 exige mecanismos de protección para los denunciantes. Dichos mecanismos deben garantizar que estos no enfrenten represalias ni sanciones por reportar o denunciar de buena fe, para lo cual se recomienda mantener la reserva de su identidad desde el inicio hasta el final de la investigación, ya sea interna o externa. Esto se alinea con los incentivos contemplados en la ley, como bonos salariales, ascensos o vacaciones adicionales, que solo serán efectivos si se garantiza la seguridad del denunciante.
No obstante, según las recomendaciones de la SMV, al establecer incentivos para la formulación de denuncias, las empresas deben asegurarse de que no se generen efectos contrarios al esperado, como el mal uso del canal establecido. Por ello, se recomienda incorporar desincentivos, como sanciones y amonestaciones, para casos de acusaciones falsas o de mala fe.
Una vez recibida una denuncia, se llevará a cabo una investigación y se evaluarán sus resultados. Si se encuentran indicios de actividad delictiva, se notificará a las autoridades competentes y se aplicarán sanciones internas sin distinción jerárquica a los implicados. Para garantizar la eficacia del proceso, es esencial dotar de recursos humanos, financieros y materiales adecuados al responsable o al órgano encargado de la administración del canal correspondiente y las investigaciones internas.
Este requisito se divide en dos partes: la primera, relacionada con la difusión del programa de cumplimiento, que debe ser lo más accesible posible, tanto para los trabajadores y terceros vinculados con la organización como para el público en general; y la segunda, referente a la capacitación periódica de los trabajadores encargados de aplicar el modelo de prevención, lo que refleja el carácter dinámico del programa y los riesgos a los que la empresa debe adaptarse.
Al respecto, el artículo 41 del reglamento de la Ley 30424 establece la obligación de que la difusión y capacitación se desarrollen por los medios más adecuados, al menos una vez al año. En este sentido, la SMV proporciona un listado de acciones y ejemplos para una adecuada implementación de medidas en estas áreas.[40] Este organismo recomienda asignar una partida presupuestal para gestionar las capacitaciones, sean virtuales y presenciales, en las que especialistas internos o externos expliquen los alcances y el funcionamiento del modelo de prevención mediante recursos didácticos y educativos. Para motivar el compromiso y la participación de los trabajadores, se pueden ofrecer incentivos como bonos salariales, felicitaciones o consideración para ascensos.
En cuanto a la difusión, la SMV recomienda la emisión y distribución continua de manuales instructivos que contengan las políticas, principios, valores y elementos del modelo de prevención a través de los canales publicitarios disponibles para la empresa, como su página web o redes sociales. Asimismo, sugiere establecer un canal exclusivo, presencial o virtual, para brindar asesoramiento u orientación ante consultas que puedan surgir sobre el modelo de prevención en casos específicos.
Estos elementos, fundamentales para consolidar un sistema idóneo y eficaz, deben ser evaluados desde dos perspectivas: por un lado, a través de una autoevaluación interna de la organización sobre el cumplimiento del modelo de prevención; por otro lado, mediante auditorías externas a la empresa[41]. En esa misma línea, el artículo 42 de la Ley 30424 establece la obligación de la persona jurídica de prever mecanismos para la retroalimentación y la mejora continua del modelo de prevención, tarea asignada al órgano de gobierno o administración encargado de monitorear, revisar e implementar las mejoras necesarias al menos una vez al año.
El monitoreo continuo del modelo de prevención implica inspeccionar el cumplimiento de los objetivos propuestos al instaurar el programa y evaluar su eficacia. Este proceso debe ser sistemático y documentado para generar un historial sobre el desempeño del modelo, lo que resulta muy útil en el futuro. El artículo 43 del mismo cuerpo normativo subraya la necesidad de incluir acciones correctivas o ajustes ante la ocurrencia de violaciones al modelo, cambios en la estructura de la organización, en el desarrollo de sus actividades o en el perfil de riesgos identificados que sirvió de base para su elaboración inicial.
La SMV, como órgano encargado de la evaluación de la idoneidad del modelo de cumplimiento, recomienda conformar comités de auditoría para supervisar las medidas adoptadas. Asimismo, sugiere establecer indicadores de desempeño vinculados a la ejecución de las políticas y objetivos del modelo, considerando factores como resultados de planes de acción derivados de la matriz de riesgos y controles, o la participación en actividades de capacitación, entre otros.
Hoy en día, el fenómeno delictivo ha alcanzado límites impensados, favorecido, entre otros factores, por la globalización y el impacto creciente de las organizaciones. En este contexto, surgen conceptos clave tanto para el ámbito corporativo como para el Derecho penal, tales como criminal compliance, autorregulación, responsabilidad social corporativa y buen gobierno corporativo, los cuales han adquirido suma relevancia para entender a la empresa como un sujeto responsable y correctamente organizado en relación con la normativa y diversos parámetros exigidos por la sociedad.
El criminal compliance en los últimos tiempos se concibe como una herramienta de autorregulación de conductas dentro de la organización, destinada a prevenir riesgos, detectar infracciones legales y sancionarlas. Sin embargo, su objetivo trasciende la mera previsión de delitos, ya que debe enfocarse en fomentar y mantener una cultura empresarial saludable[42].
Además, este enfoque puede generar efectos significativos a nivel económico. No debe limitarse a ser un elemento utilizado en el futuro para eximir o atenuar la pena de una empresa. Su utilidad económica debería motivar a los miembros de una entidad a cumplir con sus principios de manera eficaz, beneficiándolos tanto a ellos como a la organización en su conjunto.
En cuanto a su eficacia e idoneidad, los primeros pasos se han dado en el ordenamiento jurídico nacional (mediante la Ley 30424 y sus complementos legislativos) y se han regulado los requisitos mínimos con los que debería contar el modelo de prevención (elementos que, por cierto, son suficientes para establecer un programa eficiente e idóneo para la finalidad del cumplimiento normativo). Sin embargo, aún queda por observar cómo se aplicarán y valorarán estas disposiciones en relación con el criminal compliance y la responsabilidad penal de las personas jurídicas.
En definitiva, este tema tiene mucha evolución por delante. Tanto en el campo de la academia y en la práctica judicial, es fundamental contar con argumentos dogmáticos firmes y correctamente estructurados, además de evaluar y adecuar la futura jurisprudencia para garantizar un razonamiento y funcionamiento adecuados de las categorías vinculadas.
Por otro lado, la magnitud de una empresa o la complejidad de su organización pueden generar mayores riesgos para la sociedad, los cuales, en algunos casos, podrían derivar en catástrofes, como derrames de petróleo o actos de corrupción. Estos riesgos deben ser gestionados eficazmente para preservar una cultura empresarial saludable y mantener una adecuada responsabilidad empresarial.
La responsabilidad social empresarial abarca distintas acciones que permiten a las empresas organizarse correctamente y, al mismo tiempo, contribuir a la sociedad, actuando como un buen ciudadano corporativo. Estas acciones suelen materializarse en políticas empresariales bien estructuradas.
Finalmente, el criminal compliance no solo debe ser valorado únicamente por su capacidad para eximir o reducir penas, sino también por su utilidad económica. Una empresa que cuenta con un programa adecuado para gestionar riesgos, junto con mecanismos eficaces de prevención, identificación y sanción, transmite una imagen de seguridad que se traduce en un impacto positivo tanto para la organización como para la sociedad.
Artaza Varela, Osvaldo. «Programas de cumplimiento. Breve descripción de las reglas técnicas de gestión del riesgo empresarial y su utilidad jurídico-penal». En Responsabilidad de la empresa y compliance, dirigido por Santiago Mir Puig, Mirentxu Corcoy y Víctor Gómez; coordinado por Juan Carlos Hortal Ibarra y Vicente Valiente Ibáñez, 231-272. Montevideo/Buenos Aires: B de F, 2014.
Bacigalupo Zapater, Enrique. Compliance y derecho penal. Navarra: Aranzadi, 2011.
Böse, Martin. «Corporate criminal liability in Germany». En Corporate criminal liability: emergence, convergence, and risk, editado por Mark Pieth y Radha Ivory, 227-254. Dordrecht: Springer, 2011.
Braithwaite, John. «Enforced self-regulation: a new strategy for corporate crime control». Michigan Law Review 80, n.° 7 (1982): 1466-1507. https://repository.law.umich.edu/mlr/vol80/iss7/5
Caro John, José Antonio y José Reaño Peschiera. «Responsabilidad penal de la empresa y criminal compliance. Aspectos sustantivos y procesales». Forseti. Revista de Derecho 11, n.° 15 (2022): 9-49. https://doi.org/10.21678/forseti.v11i15.1753
Carrión Zenteno, Andy. Criminal compliance. Lima: Thomson Reuters, 2015.
Cervini, Raúl. «Oficial de cumplimiento, estructura de las matrices de riesgo. Criterios metodológicos de decisión y análisis». En Compliance y prevención del lavado de activos y del financiamiento del terrorismo, coordinado por Carlos Caro Coria y Luis Reyna Alfaro, 175-194 Lima: Cedpe/Asomif Perú, 2013.
Clarke, Ronald. Prevención situacional del delito: estudios de caso exitosos. 2.a ed. Nueva York: Harrow y Heston, 1997.
Gallego Soler, José-Ignacio. «Criminal compliance y proceso penal: reflexiones iniciales» En Responsabilidad de la empresa y compliance, dirigido por Santiago Mir Puig, Mirentxu Corcoy y Víctor Gómez; coordinado por Juan Carlos Hortal Ibarra y Vicente Valiente Ibáñez: 195-272. Montevideo/Buenos Aires: B de F, 2014.
García Cavero, Percy. Criminal compliance en especial compliance anticorrupción y antilavado de activos. Lima: Instituto Pacífico, 2017.
Gómez-Jara Díez, Carlos. Compliance y responsabilidad penal de las personas jurídicas en el Perú. Lima: Instituto Pacífico, 2018.
Gómez-Jara Díez, Carlos. «Aspectos sustantivos relativos a la responsabilidad penal de las personas jurídicas». En Responsabilidad penal de las personas jurídicas. Aspectos sustantivos y procesales, por Julio Banacloche Palao, Jesús María Zarzalejos Nieto, Carlos Gómez-Jara Díez: 19-22. Madrid: La Ley, 2011.
Gürkaynak, Gönenç, Olgu Kama y Burcu Ergün. «How to establish and operate an anti-corruption compliance program in emerging markets: the turkish example». The Turkish Commercial Law Review 1, n.° 2 (2015): 145-151.
Hefendehl, Roland. «Corporate Governance und Business Ethics: Scheinberuhigung oderAlternativenbeider Bekämpfungder Wirtschaftskriminalität?». Juristenzeitung 61, n.° 3 (2006): 119-125. https://doi.org/10.1628/002268806775696486
Montiel, Juan Pablo. «Apuntes sobre el nuevo régimen de la responsabilidad penal de las personas jurídicas en el Derecho argentino». Revista En Letra: Derecho penal 6 (2018): 124-150.
Montiel, Juan Pablo. «Autolimpieza empresarial: Compliance programs, investigaciones internas y neutralización de riesgos penales». En Compliance y teoría del Derecho penal, editado por Lothar Khulen, Juan Pablo Montiel e Íñigo Ortiz de Urbina, 221-244. Madrid: Marcial Pons, 2013.
Montiel, Juan Pablo. «Breve introducción al criminal compliance». Actualidad Penal 24 (2016): 140-153. https://actualidadpenal.pe/revista/edicion/actualidadpenal-24/breve-introduccion-al-criminal-compliance
Montiel, Juan Pablo. «Sentido y alcance de las investigaciones internas en la empresa». En Responsabilidad de la empresa y compliance, dirigido por Santiago Mir Puig, Mirentxu Corcoy y Víctor Gómez; coordinado por Juan Carlos Hortal Ibarra y Vicente Valiente Ibáñez, 487-517. Montevideo/Buenos Aires: B de F, 2014.
Navas Moncada, Iván. «Los códigos de conducta y el Derecho penal». En Criminalidad de empresa y compliance. Prevención y reacciones corporativas, dirigido por Jesús Silva Sánchez, 111-129. Barcelona: Atelier, 2013.
Nicolas, Stephanie y Paul May. «Building an effective compliance risk assessment programme for a financial institution». Journal of Securities Operations & Custody 9, n.° 3 (2017): 215-224.
Ragués I Vallès, Ramón. «Los procedimientos internos de denuncia como medida de prevención de delitos en la empresa». En Criminalidad de empresa y compliance. Prevención y reacciones corporativas, dirigido por Jesús Silva Sánchez: 161-200. Barcelona: Atelier, 2013.
Ragués I Vallès, Ramon. Whistleblowing. Una aproximación desde el Derecho penal. Madrid: Marcial Pons, 2013.
Superintendencia del Mercado de Valores (SMV). Resolución SMV n.º 006-2021SMV/01: Norma que establece disposiciones sobre la gestión de riesgos y cumplimiento normativo en el mercado de valores. Lima, 29 de marzo de 2021.
Reyna Alfaro, Luis. «Implementación de los compliance programs y sus efectos de exclusión o atenuación de responsabilidad penal de los sujetos obligados». En Lavado de activos y compliance. Perspectiva internacional y derecho comparado, coordinado por Kai Ambos, Carlos Caro Coria y Ezequiel Malarino, 449-485. Lima: Jurista Editores, 2015.
Rotsch, Thomas. «Compliance und Strafrecht – Fragen, Bedeutung, Perspektiven». Zeitschrift für die gesamte Strafrechtswissenschaft 125 (2013): 481-514.
Rotsch, Thomas. «Criminal compliance». Zeitschirift für Internationale Strafrechtsdogmatik, n.° 10 (2010): 494-500.
Saad-Diniz, Eduardo. «Brasil vs. Golias: os 30 anos da responsabilidade penal da pessoa jurídica e as novas tendências em compliance». Revista dos Tribunais 998 (2018): 25-53.
Sahan, Oliver. «Investigaciones empresariales internas desde la perspectiva del abogado». En Compliance y teoría del Derecho penal, editado por Lothar Khulen, Juan Pablo Montiel e Íñigo Ortiz de Urbina: 245-260. Madrid: Marcial Pons, 2013.
Silva Sánchez, Jesús María. «La actuación en una empresa como atenuante del delito». InDret Penal, n.° 4 (2024). https://indret.com/la-actuacion-en-una-empresa-como-atenuante-del-delito/
Silva Sánchez, Jesús María. La expansión del Derecho penal. 3.a ed. Buenos Aires: B de F, 2011.
Silva Sánchez, Jesús María. Fundamentos del Derecho penal de la empresa. 2.a ed. Buenos Aires: B de F, 2016.
Tiedemann, Klaus. «Der Entwurf eines Ersten Gesetzes zur Bekämpfung der Wirtschaftskriminalität». Zeitschrift für die gesamte Strafrechtswissenschaft 87 (1975): 253-328.
Tiedemann, Klaus. «El concepto de Derecho económico, de Derecho penal económico y de delito económico». Revista Chilena de Derecho 10, n.° 1 (1983): 59-68
Tiedemann, Klaus. «Zur Reform der Vermögensund Wirtschaftsstraftatbestände». Zeitschrift für Rechtspolitik, año 3 (nov. de 1970): 256-261
Tyler, Tom. «Reducing corporate criminality: the role of values». American Criminal Law Review 51 (2014): 267-291.
Webb, Dan y Steven Molo. «Some practical considerations in developing effective compliance programs: A framework for meeting the requirements of the sentencing guidelines». Washington University Law Review 71, n.° 2 (1993): 375-396.
Wohlers, Wolfgang. «Der Gesetzesentwurf zur strafrechtlichen Verantwortlichkeit von Unternehmen und sonstigen Verbänden. Kritik und Rechvergleich». Zeitschrift für Unternehmens-und Gesellschaftsrecht 45, n.° 2-3 (2016): 364-383.
El autor no presenta conflicto de intereses.
Autofinanciado
Luis Armendariz Ochoa es profesor de Derecho penal en la Universidad Científica del Sur y máster en Cumplimiento Normativo por la Universidad Castilla de la Mancha, Espaaña. Fue investigador visitante en el Instituto de Derecho penal de la Universidad de Bonn, Alemania, durante el periodo 2019-2020. Es abogado por la Universidad Nacional Mayor de San Marcos y cuenta con una especialización en criminología por DOCRIM, Universidad de Granada, España.
1.Véase al respecto Jesús María Silva Sánchez, La expansión del Derecho penal, 3a ed. (Buenos Aires: B de F, 2011).
2.Sobre el papel del Derecho penal económico en el Derecho penal moderno, véase Jesús María Silva Sánchez, Fundamentos del Derecho penal de la empresa, 2a. ed. (Buenos Aires: B de F, 2016). Dentro del ámbito del Derecho penal económico debe hacerse una mención especial a Klaus Tiedemann, quien es el principal representante de esta disciplina. Al respecto pueden revisarse algunos de sus trabajos iniciales en la materia de Derecho penal económico. Cfr. Klaus Tiedemann, «Zur Reform der Vermögensund Wirtschaftsstraftatbestände», Zeitschrift für Rechtspolitik, año 3 (nov. de 1970); —, «Der Entwurf eines Ersten Gesetzes zur Bekämpfung der Wirtschaftskriminalität» en Zeitschrift für die gesamte Strafrechtswissenschaft 87 (1975); —, «El concepto de Derecho económico, de Derecho penal económico y de delito económico», Revista Chilena de Derecho 10, n.° 1 (1983).
3.Sobre esta problemática en España, véase Silva Sánchez, Fundamentos del Derecho penal… En Perú, Percy García Cavero, Criminal compliance en especial compliance anticorrupción y antilavado de activos (Lima: Instituto Pacífico, 2017). En el caso peruano, es pertinente señalar que a pesar de que la Ley 30424 señale que se trata de una «responsabilidad administrativa de la persona jurídica», materialmente se trata de una responsabilidad penal. En Alemania, Wolfgang Wohlers, «Der Gesetzesentwurf zur strafrechtlichen Verantwortlichkeit von Unternehmen und sonstigen Verbänden. Kritik und Rechvergleich», Zeitschrift für Unternehmens-und Gesellschaftsrecht 45, n.° 2-3 (2016); Martin Böse, «Corporate criminal liability in Germany», eds. Mark Pieth y Radha Ivory (Dordrecht: Springer, 2011). En Brasil, Eduardo Saad-Diniz, «Brasil vs. Golias: os 30 anos da responsabilidade penal da pessoa jurídica e as novas tendências em compliance», Revista dos Tribunais 998 (2018). En Argentina, Juan Pablo Montiel, «Apuntes sobre el nuevo régimen de la responsabilidad penal de las personas jurídicas en el Derecho argentino», Revista En Letra: Derecho penal 6 (2018).
4.Como sostiene Montiel, el compliance se presenta como algo mucho más complejo y sofisticado que la mera exigencia de adecuarse a la ley o de observar la legalidad, pues estamos, más bien, ante una estrategia mucho más compleja de prevención de las conductas desviadas dentro de las corporaciones, que toma en consideración las particularidades de las dinámicas de grupos y de la gestación de las conductas delictivas. Cfr. Juan Pablo Montiel, «Sentido y alcance de las investigaciones internas en la empresa», en Responsabilidad de la empresa y compliance, dirs. Santiago Mir Puig, Mirentxu Corcoy y Víctor Gómez; coords. Juan Carlos Hortal Ibarra y Vicente Valiente Ibáñez (Montevideo/Buenos Aires: B de F, 2014).
5.En el mismo sentido, Braithwaite comenta que la autorregulación es una alternativa atractiva a la regulación gubernamental directa porque el Estado, simplemente, no puede permitirse llevar a cabo un trabajo adecuado por sí mismo. Resulta complicado que los inspectores gubernamentales revisen regularmente cada lugar de trabajo en busca de infracciones de seguridad ocupacional, fallas en la calidad del medioambiente, desórdenes contables, o errores en la designación del producto. Cfr. John Braithwaite, «Enforced self-regulation: a new strategy for corporate crime control», Michigan Law Review 80, n.° 7 (1982): 1467. https://repository.law.umich.edu/mlr/vol80/iss7/5
6.Es importante señalar que, aunque la norma general es que la adopción de un criminal compliance sea voluntaria, el legislador puede requerir que ciertas empresas implementen un sistema de cumplimiento normativo con reglas específicas para gestionar riesgos penales relevantes derivados de determinadas actividades comerciales relacionadas con su negocio, como ocurre con los sujetos obligados en el Sistema de Prevención de Lavado de Activos y del Financiamiento del Terrorismo (SPLAFT).
7.Al respecto, Bacigalupo señala que una cultura de cumplimiento se manifiesta, fundamentalmente, a través del comportamiento de los funcionarios u órganos a cargo de la gestión o management empresarial, así como de los responsables de la vigilancia; y tiene por efecto predisponer a los diversos actores del conglomerado empresarial a actuar en concordancia con los postulados normativos, incluso cuando estos se encuentren en oposición a los fines consustanciales a la actividad empresarial (obtención de valor para los accionistas). Cfr. Enrique Bacigalupo Zapater, Compliance y derecho penal (Navarra: Aranzadi, 2011).
8.Como refiere Clarke, la prevención situacional del delito comprende medidas de reducción de oportunidades que se dirigen a formas muy concretas de la delincuencia, e implica la gestión, el diseño o la manipulación del entorno inmediato de forma sistemática y permanente, para hacer el crimen más difícil y arriesgado o menos gratificante para una amplia gama de delincuentes. Cfr. Ronald Clarke, Prevención situacional del delito: estudios de caso exitosos, 2a. ed. (Nueva York: Harrow y Heston, 1997), 234.
9.Este elemento permitirá distinguir los programas de cumplimiento meramente estéticos o cosméticos (window-dressing Compliance Programs) de aquellos que sí cumplen con su finalidad y, por tanto, revelan un afán cierto y real por parte de la persona jurídica de contener los riesgos derivados de sus actividades.
10.Carlos Gómez-Jara Díez, «Aspectos sustantivos relativos a la responsabilidad penal de las personas jurídicas», en Responsabilidad penal de las personas jurídicas. Aspectos sustantivos y procesales por Julio Banacloche Palao, Jesús María Zarzalejos Nieto, Carlos Gómez-Jara Díez (Madrid: La Ley, 2011), 30.
11.En ese sentido, Nicolas y May sostienen que, como primer paso, las empresas deben identificar los asuntos regulatorios y legales, los conflictos, los riesgos de conducta y otros asuntos relacionados con sus actividades que pueden afectar los intereses de la organización o sus clientes (los riesgos inherentes). Este paso es uno de los más críticos para el proceso de CRA. Al preparar un inventario de los riesgos inherentes, las empresas deben realizar un análisis exhaustivo de las normas y regulaciones aplicables. Cfr. Stephanie Nicolas y Paul May, «Building an effective compliance risk assessment programme for a financial institution», en Journal of Securities Operations & Custody 9, n.° 3 (2017): 218. Nota: Debe entenderse que CRA (Compliance Risk Assessment) se traduce como evaluación de riesgos de cumplimiento. En esta línea, véase Juan Pablo Montiel, «Breve introducción al criminal compliance», Actualidad Penal 24 (2016): 144-145. https://actualidadpenal.pe/revista/edicion/actualidad-penal-24/breve-introduccion-al-criminal-compliance
12.Gönenç Gürkaynak, Olgu Kama y Burcu Ergün, «How to establish and operate an anti-corruption compliance program in emerging markets: the turkish example», The Turkish Commercial Law Review 1, n.° 2 (2015): 145-151.
13.Artículo 4.4 del reglamento de la Ley 30424, Ley que regula la Responsabilidad Administrativa de las Personas Jurídicas. https://busquedas.elperuano.pe/dispositivo/NL/1729768-3/
14.Al respecto, Silva Sánchez utiliza el término «actitud criminógena de grupo» (kriminogene Verbandsattitüde) para describir cómo la actuación en un marco colectivo y la estructura jerárquica pueden influir en la conducta de los individuos, minimizando su sentido de responsabilidad. En la conformación de esta actitud criminógena concurren dos factores. En primer lugar, el subordinado considera que actúa por el bien de la empresa, es decir, con una motivación altruista y no egoísta, lo que reduce su inhibición para actuar. En segundo lugar, el subordinado, al operar dentro de una estructura jerárquica con un responsable superior, incluso cuando tiene pleno conocimiento de la situación y de la norma, tiende a delegar su obligación ética, generando una desviación de la responsabilidad moral «hacia arriba». Cfr. Jesús María Silva Sánchez, «La actuación en una empresa como atenuante del delito», InDret Penal, n.° 4 (2024). https://indret.com/la-actuacion-en-una-empresa-como-atenuante-del-delito/
15.Cfr. Superintendencia del Mercado de Valores (SMV). Resolución SMV n.º 006-2021-SMV/01: Norma que establece disposiciones sobre la gestión de riesgos y cumplimiento normativo en el mercado de valores. Lima, 29 de marzo de 2021, 10.
16.En ese sentido, García Cavero, Criminal compliance…, 85. Por su parte, Roland Hefendehl, «Corporate Governance und Business Ethics: Scheinberuhigung oder Alternativen bei der Bekämpfung der Wirtschaftskriminalität?», Juristenzeitung 61, n.° 3 (2006): 119-125. https://doi.org/10.1628/002268806775696486, permanece crítico frente a la capacidad de prevención de delitos por parte de la empresa.
17.Así, un programa integral probablemente detectará una mala conducta antes de que se convierta en un delito, o, si ya ha alcanzado ese nivel, antes de que el gobierno la descubra. La detección temprana permite a la organización abordar los problemas de manera proactiva, en lugar de reaccionar. De esta forma, la compañía puede contener un problema detectado a tiempo y minimizar su exposición a penas criminales más severas o daños civiles. Por ejemplo, un programa de cumplimiento efectivo podría transformar lo que de otro modo sería un esquema de fraude de tres años en uno de tres meses. Cfr. Dan Webb y Steven Molo, «Some practical considerations in developing effective compliance programs: A framework for meeting the requirements of the sentencing guidelines», Washington University Law Review 71, n.° 2 (1993), 377.
18.Para una aproximación a este fenómeno, véase Ramón Ragués I Vallès, Whistleblowing. Una aproximación desde el Derecho penal (Madrid: Marcial Pons, 2013), 23 y ss.
19.Cfr. José Antonio Caro John y José Reaño Peschiera, «Responsabilidad penal de la empresa y criminal compliance. Aspectos sustantivos y procesales», Forseti. Revista de Derecho 11, n.° 15 (2022): 31. https://doi.org/10.21678/forseti.v11i15.1753
20.Oliver Sahan, «Investigaciones empresariales internas desde la perspectiva del abogado», en Compliance y teoría del Derecho penal, eds. Lothar Khulen, Juan Pablo Montiel e Íñigo Ortiz de Urbina (Madrid: Marcial Pons, 2013), 246. Agrega, además, que en muchos casos la investigación busca esclarecer actividades aparentemente útiles para la empresa, pero irregulares. Los supuestos más habituales incluyen prácticas de corrupción sistemática o acuerdos colusorios significativos que miembros de la empresa establecen con otras organizaciones.
21.Sobre este punto véase, García Cavero, Criminal compliance…, 102-103.
22.Consistente en este punto, véase Juan Pablo Montiel, «Autolimpieza empresarial: Compliance programs, investigaciones internas y neutralización de riesgos penales», en Compliance y teoría del Derecho penal, eds. Lothar Khulen, Juan Pablo Montiel e Íñigo Ortiz de Urbina (Madrid: Marcial Pons, 2013), 221-222.
23.Ley 30424, Ley que regula la responsabilidad administrativa de las personas jurídicas por el delito de cohecho activo transnacional. Normas Legales, n.º 583798, Diario Oficial El Peruano, 21 de abril de 2016.http://www.leyes.congreso.gob.pe/documentos/leyes/30424.pdf
24.Así también lo establece el literal d) del artículo 12 de la Ley 30424.
25.Véase, García Cavero, Criminal compliance…, 134.
26.Thomas Rotsch, «Compliance und Strafrecht – Fragen, Bedeutung, Perspektiven», Zeitschrift für die gesamte Strafrechtswissenschaft 125 (2013): 487. Así también, Rotsch se mantiene crítico frente la perspectiva de considerar al criminal compliance como mecanismo liberador de responsabilidad para la empresa o para la dirección empresarial, puesto que esto podría generar que la responsabilidad se transfiera a los trabajadores subordinados, lo que traería grandes perjuicios para la organización. Cfr. Thomas Rotsch, «Criminal compliance», en Zeitschirift für Internationale Strafrechtsdogmatik, n.° 10 (2010): 615. Nota: El artículo «Criminal Compliance», de Thomas Rotsch fue publicado originalmente en Zeitschirft für Internationale Strafrechtsdogmatik, n.° 10 (2010) y posteriormente en español en Indret, n.° 1 (2012).
27.Así, véase Raúl Cervini, «Oficial de cumplimiento, estructura de las matrices de riesgo. Criterios metodológicos de decisión y análisis», en Compliance y prevención del lavado de activos y del financiamiento del terrorismo, coords. Carlos Caro Coria y Luis Reyna Alfaro (Lima: Cedpe/ Asomif Perú, 2013), 184.
28.Gómez-Jara ha señalado que el encargado de prevención (oficial de cumplimiento) debe ser designado por el máximo órgano de administración de la persona jurídica. Cfr. Carlos Gómez-Jara Díez, Compliance y responsabilidad penal de las personas jurídicas en el Perú (Lima: Instituto Pacífico, 2018), 29.
29.Cfr. SMV, Resolución SMV n.° 006-2021-SMV/01, 16.
30.Artículos 199, 226, 228, 384, 397, 397-A, 398 y 400 del Código Penal, en los artículos 1, 2, 3 y 4 del Decreto Legislativo n.° 1106, Decreto Legislativo de lucha eficaz contra el lavado de activos y otros delitos relacionados a la minería ilegal y crimen organizado y en el artículo 4-A del Decreto Ley 25475, Decreto Ley que establece la penalidad para los delitos de terrorismo y los procedimientos para la investigación, la instrucción y el juicio.
31.Modificación introducida mediante Ley 31740, publicada el 13 de mayo de 2023.
32.Conforme a la normativa ISO 31000, se incluyen: la identificación, el análisis, la evaluación y el tratamiento del riesgo. Cfr. Gómez-Jara Díez, Compliance y responsabilidad penal…, 31.
33.Similar y con mayores referencias, véase Osvaldo Artaza Varela, «Programas de cumplimiento. Breve descripción de las reglas técnicas de gestión del riesgo empresarial y su utilidad jurídico-penal», en Responsabilidad de la empresa y compliance, dirs. Santiago Mir Puig, Mirentxu Corcoy y Víctor Gómez; coords. Juan Carlos Hortal Ibarra y Vicente Valiente Ibáñez (Montevideo/ Buenos Aires: B de F, 2014), 249 y ss.
34.Cfr. José-Ignacio Gallego Soler, «Criminal compliance y proceso penal: reflexiones iniciales», en Responsabilidad de la empresa y compliance, dirs. Santiago Mir Puig, Mirentxu Corcoy y Víctor Gómez; coords. Juan Carlos Hortal Ibarra y Vicente Valiente Ibáñez (Montevideo/Buenos Aires: B de F, 2014), 206.
35.Sobre el contenido mínimo de un código de conducta, véase Iván Navas Moncada, «Los códigos de conducta y el Derecho penal», en Criminalidad de empresa y compliance. Prevención y reacciones corporativas, dir. Jesús Silva Sánchez (Barcelona: Atelier, 2013), 119. Por su parte Carrión señala que, en cuanto a los destinatarios del código de conducta, el alcance internacional de los negocios y las complejas formas de manifestación de la corrupción obligan a que estos no sean únicamente los trabajadores directos de la empresa, sino que se extienda, en la medida de los posible, a los así llamados agents and business partners, esto es, a los apoderados, asesores, representantes, intermediarios, socios de la joint venture, entre otros agentes similares. Cfr. Andy Carrión Zenteno, Criminal compliance (Lima: Thomson Reuters, 2015), 103.
36.Al respecto, véase Tom Tyler, «Reducing corporate criminality: the role of values», American Criminal Law Review 51 (2014): 257-291. Nota: Existe una traducción a mi cargo del artículo anterior, véase Tom Tyler, «Reduciendo la criminalidad empresarial: El papel de los valores», Ius Puniendi, n.° 2 (2017): 79-116.
37.Para una revisión de los orígenes y la expansión del whisteblowing, véase Ramón Ragués I Vallès, «Los procedimientos internos de denuncia como medida de prevención de delitos en la empresa», en Criminalidad de empresa y compliance. Prevención y reacciones corporativas, dir. Jesús Silva Sánchez (Barcelona: Atelier, 2013): 163 y ss.
38.Al respecto, véase Gómez-Jara Díez, Compliance y responsabilidad penal…, 33. Por su parte, Ragués acepta como canales de denuncia el correo postal y electrónico, el teléfono o el fax. Cfr. Ragués I Vallès, «Los procedimientos…», 187. En el marco de la legislación peruana, mediante el proyecto de la Ley 30424, en su artículo 38 establece que estos canales pueden consistir en líneas telefónicas, buzones de correo electrónico exclusivos, sistemas de denuncia en línea, reportes presenciales u otros que la organización considere idóneos, además, estos podrían ser administrados por la misma empresa o terceros.
39.Ragués sostiene que «es altamente recomendable que la información se facilite por medios que, llegado el caso, permitan acreditar ante un tribunal que efectivamente los trabajadores fueron informados (acuse de recibo en el caso de entrega de documentos, firma de asistencia en el caso de cursos, etc.)». Cfr. Ragués I Vallès, «Los procedimientos…», 178.
40.Cfr. SMV, Resolución SMV n.° 006-2021-SMV/01, 22.
41.Cfr. Gómez-Jara Díez, Compliance y responsabilidad penal…, 35. El autor también destaca que el valor de las auditorías externas es significativamente superior no solo por el mayor nivel de especialización de las empresas prestadoras de servicios de compliance, sino también porque su independencia y autonomía confieren mayor credibilidad a la evaluación que realicen del modelo de prevención.
42.En el mismo sentido, Luis Reyna Alfaro, «Implementación de los compliance programs y sus efectos de exclusión o atenuación de responsabilidad penal de los sujetos obligados», en Lavado de activos y compliance. Perspectiva internacional y derecho comparado, coords. Kai Ambos, Carlos Caro Coria y Ezequiel Malarino (Lima: Jurista Editores, 2015), 463.