Giuristi: Revista de Derecho Corporativo / ISSN 2708-9894

THIRD PARTIES COMPLIANCE MEDIDAS DE ASEPSIA PARA PREVENIR DELITOS EN LA GESTIÓN DE LA CADENA DE SUMINISTRO

Third Parties Compliance Asepsis Measures to Prevent Crimes in Supply Chain Management

Compliance Em Terceiros Medidas de Assepsia para Prevenir Crimes na Gestão da Cadeia de Abastecimento

Paul Mendoza Vaez

Georg-August-Universität, Göttingen, Alemania

https://orcid.org/0009-0006-1146-1904

Fecha de recepción: 3/08/2024

Fecha de aceptación: 13/11/2024

Resumen

El presente estudio analiza las relaciones interempresariales que se generan en la cadena de suministro y subraya que el propósito de una empresa ha de trascender lo meramente económico para asegurar su sostenibilidad, responsabilidad social corporativa y la satisfacción tanto de sus stakeholder como de sus shareholders. Además, se detallan las medidas de prevención de delitos que una empresa debe implementar para evitar verse afectada por una organización defectuosa derivada de sus socios de negocio. En este sentido, el procedimiento de debida diligencia constituye un proceso clave.

Palabras clave: compliance, responsabilidad social corporativa, terceras partes, debida diligencia.

Abstract

This study analyzes the inter-business relationships that arise in the supply chain and emphasizes that the purpose of a company must go beyond the merely economic in order to ensure its sustainability, corporate social responsibility, and the satisfaction of both its stakeholders and shareholders. Additionally, it outlines the crime prevention measures that a company must implement to avoid being affected by a defective organization stemming from its business partners. In this regard, the due diligence process constitutes a key procedure.

Keywords: compliance, corporate social responsibility, third parties, due diligence.

Resumo

Este estudo analisa as relações interempresariais que surgem na cadeia de suprimentos e sublinha que o propósito de uma empresa deve ir além do meramente econômico para garantir sua sustentabilidade, responsabilidade social corporativa e a satisfação tanto de seus stakeholders quanto de seus acionistas. Além disso, são detalhadas as medidas de prevenção de crimes que uma empresa deve implementar para evitar ser afetada por uma organização defeituosa proveniente de seus parceiros de negócios. Nesse sentido, o processo de due diligence constitui um procedimento chave.

Palavras-chave: compliance, responsabilidade social corporativa, terceiros, due diligence.

1. Introducción

Know your customer (KYC) reza el aforismo fundamental que rige toda relación comercial, mediante el cual una persona -natural o jurídica- conoce el perfil técnico, económico y legal de su contraparte para garantizar la adecuada prestación de un servicio o la venta de un bien.

Aunque el mandato es conoce a tu cliente, es aún más cierto que la contracara también exige conocer al proveedor, pues una relación comercial no es unilateral, sino que se perfecciona con el acuerdo de ambas partes, lo cual nos lleva ante un sinalagma indisoluble.

Aplicado a la dinámica empresarial, tal mandato se convierte en inexcusable, sobre todo en la gestión de la cadena de suministro. Esto se debe a que, para lograr un desarrollo sostenible a largo plazo, una empresa necesariamente necesita relacionarse con sus stakeholders o partes interesadas.

Ahora bien, en cuanto al ámbito penal empresarial, es importante considerar el concepto de responsabilidad penal corporativa, es decir, si existen criterios objetivos para atribuir responsabilidad penal a una empresa. Tradicionalmente, las personas jurídicas no respondían penalmente, ya que se cuestionaba su capacidad para cometer delitos, entendidos como hechos antijurídicos y personalmente imputables^[1].

Pese a ello, el enfoque tradicional ha perdido terreno, dando paso a regulaciones sobre la responsabilidad penal o administrativa de las personas jurídicas. En el Perú, a partir de la promulgación de la Ley 30424, se establecen los presupuestos para que las empresas respondan de manera autónoma por hechos delictivos cometidos dentro de su organización. Aunque la legislación nacional regula la responsabilidad administrativa de las empresas solo para ciertos delitos relacionados con la corrupción pública, el lavado de activos y el financiamiento del terrorismo, entre otros, también pueden aplicarse consecuencias accesorias y reparación civil para la empresa por otros delitos no incluidos en la referida ley, además de la responsabilidad penal individual para sus directivos, administradores u otros.

En este contexto, recientemente se ha excluido a los partidos políticos de la posibilidad de responder por la comisión de delitos, por lo que ya no pueden ser sancionados bajo la Ley 30424 ni enfrentar consecuencias accesorias, manteniéndose únicamente la responsabilidad individual de sus miembros.

Sobre la responsabilidad penal corporativa, la literatura que aboga por ella la fundamenta en un sistema organizativo defectuoso de la empresa, que crea las condiciones propicias para la comisión de delitos, ya sea mediante la generación de un estado de cosas peligrosas^[2] o una estructura defectuosa^[3]. Este criterio de atribución de responsabilidad se aplica cuando es la propia empresa o sus directivos quienes configuran el hecho delictivo. A su vez, la responsabilidad penal de la empresa, de acuerdo con el delito corporativo, tiene como objetivo que se establezca una autorregulación preventiva dirigida específicamente a prevenir este tipo de comportamientos individuales^[4].

Sin perjuicio de esto, la dinámica económica enseña que las actividades empresariales no ocurren de manera aislada; por el contrario, se tejen sinergias entre empresas o grupos de empresas, lo que permite brindar un óptimo servicio a precios competitivos en una era cada vez más exigente en cuanto a calidad, en la que sobrevive aquella que se adapta a los cambios propios de las nuevas tecnologías y de la incursión de la inteligencia artificial^[5]. Por ello, la casuística nos enseña que las empresas no solo deben prevenir los riesgos provocados por sus colaboradores o directivos, sino también, y, sobre todo, los riesgos originados por sus third parties, específicamente, sus proveedores y subcontratistas, a fin de no verse involucradas en posibles actos ilícitos cometidos los funcionarios de empresas externas con las que sostienen vínculos comerciales.

2. Un caso prototípico

A efectos de ilustrar el tema de estudio, planteamos el siguiente caso hipotético: El consorcio Construcciones Modulares, recientemente formado por dos reconocidas empresas locales del rubro de la construcción, obtuvo la buena pro para el diseño y edificación de veinte escuelas en la ciudad de Lima, lo cual beneficiará a más de cuarenta mil estudiantes. Ambas empresas cuentan con un sistema de gestión antisoborno implementado y con la certificación ISO 37001. Además, el consorcio ha designado hace poco a su encargado de prevención de delitos, a quien se le ha encomendado desarrollar, controlar y monitorear el modelo correspondiente.

Dado que se trata de obras a gran escala con plazos programados, el consorcio debe entregar avances periódicos a su cliente, el Estado peruano, específicamente el Ministerio de Educación. Para cumplir con los avances de obra y evitar incurrir en penalidades, en una reunión directiva, el consorcio tomó importantes decisiones para poner en marcha las actividades operativas:

1. Contratar a diversos proveedores y subcontratistas que le brinden los servicios de movimiento de tierras, ingeniería, mecánica, diseño de estructuras, topografía, ferretería, marmolería, acabados, transporte, seguridad, entre otros.

2. Contratar a proveedores para la compra y alquiler de bienes como aceros, cementos, maderas, aditivos, sanitarios, luminarias, mobiliarios, maquinarias, vehículos, entre otros.

3. Subcontratar a cinco empresas constructoras para ejecutar la construcción de diez de las veinte escuelas asignadas. Estas empresas subcontratistas utilizarán sus propios recursos logísticos y personal para realizar las obras.

La alta dirección del consorcio se reunió con el encargado de prevención de delitos, a quien le asignaron desplegar las acciones necesarias para prevenir cualquier contingencia legal en la ejecución de las actividades antes mencionadas, a quien además le manifestaron su total respaldo y compromiso.

Ante tan importante cometido, este profesional se formula las siguientes interrogantes: ¿Cuáles serían esas acciones necesarias que deberá desplegar para prevenir cualquier contingencia legal? ¿Podría recaer responsabilidad penal sobre las empresas del consorcio o sobre él mismo, si alguno de los proveedores o subcontratistas comete un delito vinculado con la corrupción de funcionarios o el lavado de activos?

3. Cadena de suministro y third parties compliance

Las empresas, por su propia naturaleza, desean obtener ganancias económicas. Por ello, centran sus máximos esfuerzos en alcanzar este objetivo. Sin embargo, también persiguen una finalidad adyacente, la cual es comportarse como un good corporate citizen y contribuir al bienestar de la sociedad, sin comprometer su sostenibilidad organizacional. De acuerdo con los profesores Carter y Rogers, la sostenibilidad organizacional consta de tres componentes: el entorno natural, la sociedad y el desempeño económico^[6]. Esto es lo que actualmente se conoce como criterios ESG (environmental, social and governance), que implican considerar los efectos medioambientales, sociales y de gobierno corporativo asociados a una actividad empresarial responsable.

Por otro lado, los conceptos previos sugieren que la finalidad última de una empresa no debe limitarse al aspecto económico o lucrativo, aunque relevante, no es exclusivo. La forma correcta de hacer negocios es optimizar el beneficio de los stakeholders y shareholders. Esta filosofía se deriva de un concepto que ha cobrado importancia en las últimas décadas: la responsabilidad social corporativa (RSC), la cual busca conciliar los intereses de la empresa con los de su entorno^[7], considerando los aspectos sociales, ambientales y económicos de la sociedad en su toma de decisiones, estrategias y procesos. De esta manera, se fomenta una gestión ética e íntegra, con el fin de establecer buenas prácticas en su organización y crear valor. En definitiva, el objetivo final de una empresa que adopta la RSC es optimizar el enforcement de las dinámicas sociales.

Puede deducirse que la RSC hace referencia a un modelo de gestión empresarial y de comunicación con su entorno (entre otros, empleados, consumidores, sociedad, etc.) en relación con resultados económicos, sociales y medioambientales. Este enfoque favorece la calidad del ambiente laboral y promueve la participación activa en la comunidad donde se desarrolla. Las empresas que adoptan prácticas socialmente responsables generan una cultura corporativa más innovadora, mejor valorada en el ámbito internacional y adquieren recursos para adaptarse a los cambios futuros en un mercado global y en continuo cambio^[8].

De hecho, conceptos como sostenibilidad, buen gobierno corporativo y gestión socialmente responsable nos llevan a entender que los negocios responsables implican hacer las cosas correctas por vocación y no por obligación. De ahí que se sostenga que la RSC no debería ser solo un área dentro de las organizaciones empresariales para construir relatos políticamente correctos, sino un elemento esencial de su ADN, condicionando todas y cada una de las decisiones de las personas que conforman el colectivo^[9].

Así las cosas, una empresa difícilmente podrá gestionar sus actividades operativas sin apoyarse en otras. Las actividades empresariales requieren sinergias para garantizar su sostenibilidad, en la medida en que se cuente con los medios y herramientas idóneas para su correcta ejecución, así como con el soporte de los socios estratégicos que brinden el know-how propio de cada industria.

Entonces, dado que las dinámicas de grupo y las relaciones interempresariales pueden abrir un abanico de oportunidades y riesgos, surge la necesidad de tomar extrema cautela en la administración de la cadena de suministro. Esta se entiende como la gestión integrada de procesos clave de negocio, con el proceso logístico como eje central, que abarca desde el cliente hasta los proveedores más relevantes, para suministrar bienes y servicios que generen valor al destinatario final^[10].

Pero, además, es necesario cautelar que dentro de la cadena de suministro se valoren, junto con los criterios técnicos y de calidad, las prácticas de transparencia e integridad. De este modo, los proveedores que establezcan programas efectivos para combatir la corrupción en sus organizaciones mejorarán la calidad de sus productos, reducirán costos y evitarán responsabilidades. Estas acciones también facilitarán las relaciones con los clientes, tanto nuevos como actuales, quienes confiarán más y sentirán menos necesidad de imponer sus propios estándares o de insistir en actividades disruptivas de monitoreo y cumplimiento^[11].

Ahora bien, hasta aquí podríamos preguntarnos: ¿A qué viene todo esto? La respuesta es bastante sencilla. Es conocer el contexto en el que se gestan las relaciones interempresariales y cómo la gestión de la cadena de suministro puede ser también un foco criminógeno, lo cual redundará en el deber de las empresas de mitigar tales riesgos. Como se ha indicado líneas arriba, actualmente varios ordenamientos jurídicos regulan sanciones penales y administrativas a las empresas en cuyo seno se haya cometido o facilitado la comisión de delitos vinculados con la corrupción y lavado de activos.

Volviendo al plano penal, resulta imperioso analizar más a fondo cuando intervienen varias empresas en el delito, puesto que «no todo le atañe a todos»^[12]. Más bien, es necesario identificar el nivel de interacción y posible responsabilidad de cada una de las empresas, de corresponder. La variable que se introduce como premisa es la siguiente: ¿En qué casos podría responder la empresa principal cuando un proveedor o subcontratista, por encargo o a nombre suyo, comete un delito?

A diferencia de la responsabilidad civil solidaria, en la que cada empresa responde según su participación, la responsabilidad penal se rige por criterios de atribución o imputación, particularmente por el principio de competencia o autorresponsabilidad. De ahí que, como refiere Maraver Gómez, en los ámbitos de reparto de tareas o división del trabajo debe regir el principio de confianza, fundamentada en el concepto de autorresponsabilidad, según el cual una persona es responsable solo cuando infringe un deber de su propio ámbito de actuación^[13].

El principio de confianza libera de responsabilidad a quien obra confiando en el comportamiento socialmente adecuado de los demás sujetos autorresponsables con los que interactúa. Vale decir, a las personas que emprenden una actividad riesgosa pero lícita, se les permite confiar en que quienes participan junto a ellas ajustarán su conducta al ordenamiento jurídico^[14].

También, en el ámbito de la delincuencia empresarial, se aplica el criterio de la competencia para delimitar la responsabilidad individual de los empresarios, dado que no todos los ejecutivos y administradores deberán responder por un determinado delito cometido al interior de una empresa. Así, en la jurisprudencia nacional, se han emitido sendos pronunciamientos que delimitan claramente la responsabilidad penal, en virtud del principio de competencia o autorresponsabilidad^[15].

La pregunta que nos corresponde formular a continuación es la siguiente:

¿Puede una empresa responder por un delito cometido por su proveedor en quien externalizó una actividad suya? La respuesta es, preliminarmente, afirmativa, pero solo en determinados supuestos. Al igual que en la delegación (ad intra), también en la externalización (outsorcing) rige una responsabilidad de supervisar y vigilar. Por ello, la empresa principal podrá responder únicamente cuando esté obligada a supervisar, vigilar y controlar a su proveedor, y cuando estos deberes hayan sido omitidos. Es decir, que el delito cometido por el proveedor sea consecuencia de un defecto organizativo de la empresa principal, lo que genere también un beneficio directo o indirecto para la propia empresa.

Esto es así porque, en las relaciones interempresariales en las cuales se utiliza el mecanismo de outsorcing -siguiendo la misma lógica de la delegación-, la empresa principal externaliza en otra -proveedor o subcontratista- una actividad o desarrollo de un proceso, pero no se descarga totalmente su esfera de competencia, sino que la transforma. Razón no le falta al profesor Silva Sánchez cuando afirma que las responsabilidades de vigilancia, cuyo cumplimiento forma parte de un programa de criminal compliance, no pueden referirse solo a la propia entidad, sino que deben extenderse también a aquellas otras con las que tiene relaciones económicas (third party compliance). En este marco general se integran los protocolos KYC (know your customer, know your supplier), los cuales parecen abrir un nuevo ámbito de obligaciones de vigilancia^[16].

Sobre el particular, el profesor Lascuraín señala que la delegación no es un mecanismo de pura traslación de competencias, sino una forma de generarlas en otro, transformando las propias en mediatas: el delegante sigue siendo garante, pero a través de otro, a quien debe corregir si desempeña incorrectamente su función y supervisar el cumplimiento de sus responsabilidades^[17]. En la misma línea, Silva Sánchez agrega que, en virtud de dicha transformación, la posición de garantía del delegante pasa a ser secundaria o residual. Al delegante ya no le compete la responsabilidad de control directo de los focos de riesgo que se hallan en el ámbito de competencia del delegado, pero sí le incumben una serie de obligaciones con objeto diverso: la correcta selección, formación -si fuera precisa- e información del delegado; la dotación de este con los medios necesarios para el cumplimiento de sus funciones; la coordinación de la actuación de los diversos delegados, y, sobre todo -al menos, según se suele indicar-, el deber de vigilancia^[18].

Entonces, el compromiso de vigilancia nace en razón de una correcta externalización de una actividad, al igual que sucede en la delegación de funciones, y conlleva la responsabilidad de la empresa principal de procurarse información, para conocer si su proveedor o subcontratista está actuando conforme a derecho. Esto, evidentemente, implica desplegar mecanismos idóneos de flujos de comunicación y reporte de información a intervalos planificados, así como desplegar acciones correctivas por parte de la empresa principal, en caso de que conozca si su proveedor o subcontratista está obrando de manera defectuosa en su esfera de organización. En suma, el inicial principio de confianza de la empresa principal es sustituido por un principio de desconfianza. Por consiguiente, es un error considerar que al externalizar una actividad también se externalizan los riesgos asociados a ella. Por ello, un programa de compliance que no involucre a los proveedores y a los socios de negocio resulta incompleto. La consecución del objetivo de cumplimiento pretendido supone la necesaria y habitual colaboración y coordinación de objetivos y valores con los proveedores. Un programa completo de compliance exige extender el perímetro de control a los proveedores, quienes actúan por cuenta de la empresa y podrían involucrarla en alguna posible infracción cometida^[19].

Así las cosas, la realidad parece llevarnos a considerar el auge y necesaria relevancia del principio de desconfianza en las relaciones contractuales entre empresas, por lo que los deberes de vigilancia se amplían no solo a la propia entidad, sino también a aquellos terceros con los que nos relacionamos^[20].

En resumen, la empresa principal puede responder por los delitos cometidos por un proveedor o subcontratista en quien externalizó una actividad, si infringe sus deberes de supervisión, vigilancia y control sobre este. Tal situación ocurre cuando no se despliegan acciones correctivas o de neutralización de la empresa proveedora, a pesar de conocer su accionar delictivo, como actos de corrupción o fraude. En definitiva, se aplica el principio de desconfianza, atendiendo a los criterios de externalización y especialización propios de las relaciones interempresariales.

4. Procedimiento de due diligence en el conocimiento de proveedores y subcontratistas

La medida ineludible para prevenir riesgos penales en la interrelación con proveedores o subcontratistas es el procedimiento de debida diligencia o due diligence. Con este proceso, se busca cumplir con las cautelas mínimas necesarias para conocer al proveedor y a otros socios de negocio. Dado que existen diversos tipos de proveedores y factores que influyen en el nivel de riesgo, será necesario implementar diferentes niveles de debida diligencia para evaluar adecuadamente a cada proveedor.

Los lineamientos de la debida cautela, como componente trascendental de los sistemas de compliance en el conocimiento de proveedores y subcontratistas, están recogidos en diversos cuerpos normativos. A estos efectos, conviene traer a colación el reglamento de la normativa nacional, así como algunas normas ISO, a saber:

1. Decreto Supremo n.° 002-2019-JUS - Reglamento de la Ley n.° 30424, Ley que regula la Responsabilidad Administrativa de las Personas Jurídicas

   Artículo 5.Definiciones

   8. Debida diligencia: proceso a través del cual la persona jurídica identifica y evalúa con detalle la naturaleza y el alcance de los riesgos de delitos en el marco de su actividad, la cual permite la toma de decisiones informadas, con la finalidad de prevenir o mitigar el riesgo de la comisión de delitos, en el ámbito de las transacciones comerciales, proyectos, actividades, socios comerciales y personal considerado dentro de estas categorías.

   Artículo 32, último párrafo

   (...)

   La política del modelo de prevención es aplicable a los socios comerciales y a las partes interesadas, quienes deben ser debidamente informados sobre el compromiso de la persona jurídica de prohibir cualquier delito, buscando su adhesión a dicho compromiso.

2. NTP-ISO 37001 - Sistema de Gestión Antisoborno

   Anexo 10.1

   El objetivo de realizar la debida diligencia sobre determinadas operaciones, proyectos, actividades, socios de negocios, o el personal de una organización es evaluar con mayor profundidad, el alcance, la escala y la naturaleza de más que un riesgo bajo de soborno identificado como parte de la evaluación de riesgos de la organización (...).

   Anexo 10.3

   c) los procedimientos de debida diligencia implementados por la organización a sus socios de negocios deberían ser consistentes con los niveles de riesgo de soborno similares (un alto riesgo de soborno de socios de negocios en lugares o mercados en los que existe un alto riesgo de soborno es probable que requiera un nivel significativamente mayor de la debida diligencia, que la de menores riesgos de soborno de socios de negocios en lugares o mercados de bajo riesgo de soborno).

3. UNE-ISO 37301 - Sistema de Gestión de Compliance

   Anexo 8.1 sexto párrafo

   En caso de uso de procesos de terceras partes o de contratación externa de las actividades de la organización, la organización debería llevar a cabo una debida diligencia para asegurar que sus estándares y compromisos con el compliance no se rebajan. Un ejemplo de terceras partes podría estar relacionado con el suministro de productos y servicios y la distribución de productos. La organización debería asegurar que los acuerdos de nivel de servicio (SLA, por sus siglas en inglés) adecuado que especifican las obligaciones de compliance para el proveedor de servicios se formalizan.

Puesto que una empresa busca brindar un óptimo servicio tanto a nivel de calidad como de legalidad y transparencia, resulta lógico buscar relacionarse con proveedores y subcontratistas que compartan la misma cultura de cumplimiento e integridad. Por ello, se evita, en la medida de lo posible, entablar relaciones comerciales con proveedores y subcontratistas vinculados con delitos de corrupción, lavado de activos, financiamiento del terrorismo u otros. En este sentido, el procedimiento de debida diligencia resulta necesario para prevenir cualquier vinculación con proveedores que tengan o hayan tenido alguna relación con los delitos antes mencionados. Este procedimiento debe ser llevado a cabo por las áreas de compras, supply chain o logística -según la denominación que corresponda- en coordinación con el área de cumplimiento normativo o compliance^[21].

Siendo así, y puesto que el vínculo comercial con un proveedor o subcontratista no es un acto único, sino una vinculación de tracto sucesivo, resulta necesario evaluar el perfil de riesgo del proveedor o subcontratista al inicio y durante el vínculo comercial. En tal sentido, podemos destacar las siguientes etapas de la debida diligencia:

1. Etapa de selección

   En esta primera etapa, se identifica al potencial proveedor o subcontratista y se recopila información sobre su perfil de riesgo, así como detalles técnicos, experiencia en el mercado y respaldo financiero con el que cuenta. De aquí surge la primera obligación de una empresa contratante: seleccionar adecuadamente a una empresa o persona natural con la capacidad técnica, legal y de integridad para ejecutar el trabajo encomendado. Así, por ejemplo, habría un defecto en la selección si la empresa eligiera a un proveedor o contratista sin la logística necesaria o con el personal calificado que exige el servicio encargado.

2. Etapa de evaluación

   En esta etapa, se revisa y cruza la información recopilada del proveedor o subcontratista. Los datos por revisar estarán en función del perfil del abastecedor, del servicio a brindar y del aspecto geográfico en que se ofrecerá el servicio.

   Aunque no existe un listado taxativo de información, se recomienda evaluar los siguientes aspectos: estructura societaria de la empresa, identificación de accionistas, directores, gerentes y beneficiarios finales, personas expuestas políticamente, origen de los fondos, procesos legales, sanciones recibidas, reportes en centrales de riesgo, si dispone de un modelo de prevención o un sistema de Prevención de Lavado de Activos y Financiamiento del Terrorismo (PLAFT) y si está incluida en las listas que contribuyen a la prevención del lavado de activos y financiamiento del terrorismo:

   i) Lista de la Oficina de Control de Activos Extranjeros (OFAC, por sus siglas en inglés)

   ii) Lista de terroristas del Consejo de Seguridad de las Naciones Unidas

   iii) Lista de terroristas de la Unión Europea

   iv) Listas relacionadas con el financiamiento de la proliferación de armas de destrucción masiva: listas emitidas por el Consejo de Seguridad de la ONU

   v) Lista de países y territorios no cooperantes

   vi) Listado de las resoluciones del Consejo de Seguridad de las Naciones Unidas, entre otras.

   Si luego de evaluar la información recabada del potencial proveedor o subcontratista se obtiene un riesgo bajo o escaso de su perfil, se podrá continuar con el procedimiento de homologación. Una vez tomada la decisión de entablar el vínculo comercial, surge la necesidad de adoptar medidas de prevención, tales como la incorporación de cláusulas de cumplimiento. Esto implica que el proveedor o subcontratista tendrá que implementar su modelo de prevención o adherirse al de la empresa principal, así como incluir cláusulas anticorrupción que manifiesten el compromiso del proveedor de no incurrir en acciones de corrupción, bajo causal de resolución contractual y posibles acciones legales de indemnización.

3. Etapa de monitoreo

   Como señalamos anteriormente, el proceso de debida diligencia no se agota al recopilar y evaluar la información del proveedor o subcontratista al inicio del vínculo comercial, sino que persiste mientras dure todo el vínculo.

   Puesto que un socio de negocio puede ser inicialmente idóneo, pero deteriorarse con el tiempo, deben también monitorizarse las variaciones en su perfil. Con ello, la organización comprueba que se mantienen los condicionantes de idoneidad en la relación con el socio de negocio, desde una perspectiva de compliance penal^[22].

   Por tanto, la etapa de monitoreo resulta importante, pues nos asegura un procedimiento periódico de revisión y actualización de la información obtenida, a fin de verificar que esta no haya sufrido variación ni se haya presentado circunstancia alguna que ponga en peligro o genere señales de alerta para la empresa^[23].

   Aunque no existe un plazo establecido para monitorear a los proveedores y subcontratistas, en razón del principio de autorregulación, la propia empresa deberá programar, a intervalos planificados, sus medidas de monitoreo.

En resumen, el proceso de diligencia debida proporciona a la empresa la información necesaria para conocer y gestionar los riesgos de terceros potenciales y, en consecuencia, para determinar si la externalización con un tercero concreto ayudaría a lograr la consecución de los objetivos estratégicos y financieros de la empresa principal y a mitigar los riesgos identificados^[24].

A su vez, cuando una empresa va a relacionarse con un proveedor o subcontratista, rige un principio de desconfianza plasmado en el primer compromiso fundamental, consistente en seleccionar adecuadamente a la contraparte. Para lo cual, deberá seguir un proceso de debida diligencia al inicio y durante el transcurso del vínculo comercial. Luego, será necesario supervisar al proveedor o subcontratista para que cumpla adecuadamente con el trabajo encomendado; para ello, es esencial establecer una comunicación fluida entre la empresa principal y este. Si, pese a las debidas cautelas y cumplimiento de deberes de la empresa, resulta que el proveedor incurre en un delito, la responsabilidad penal no corresponderá a la empresa principal por haber cumplido con los requisitos antes mencionados.

5. Medidas de asepsia para prevenir riesgos penales en las relaciones interempresariales

La legislación nacional establece que la empresa estará exenta de responsabilidad por la comisión de delitos si adopta e implementa en su organización, con anterioridad a la comisión del delito, un modelo de prevención adecuado a su naturaleza, amenazas, necesidades y características, consistente en medidas de vigilancia y control idóneas para prevenir los delitos o para reducir significativamente el riesgo de su comisión. Sin embargo, recientemente se estableció también que es inaplicable la referida eximente cuando el delito es cometido por los socios, directores, administradores de hecho o derecho, representantes legales o apoderados, con capacidad de control de la persona jurídica.

De tal suerte que, como primera medida, la empresa que busca prevenir verse involucrada en posibles riesgos penales, originados por su propia organización, tendrá que cumplir con implementar los elementos mínimos que la norma precisa para los modelos de prevención. Estos son: i) identificación, evaluación y mitigación de riesgos, ii) un encargado de prevención, designado por el máximo órgano de gobierno de la persona jurídica o quien haga sus veces, según corresponda, quien debe ejercer su función con autonomía, iii) la implementación de procedimientos de denuncia, iv) la difusión y capacitación periódica del modelo de prevención y v) la evaluación y monitoreo continuo del modelo de prevención.

Hemos señalado anteriormente que, a pesar de que muchos delitos no generan responsabilidad penal autónoma a la empresa, sí pueden generarle otro tipo de responsabilidades, como la interposición de consecuencias accesorias y reparaciones civiles. En tal sentido, si la empresa, por la dinámica propia de sus actividades, se encuentra expuesta a riesgos vinculados con otros delitos, es necesario adoptar medidas de mitigación, por lo que el sistema de compliance eficaz implementado al interior de su organización deberá abarcar toda la constelación de sus principales actividades y amenazas.

Este compromiso de prevención se refuerza en la interacción interempresarial que surge entre la empresa principal y sus proveedores o subcontratistas, de tal suerte que las acciones a adoptar deben ser también reforzadas. En tal sentido, a manera de píldoras de prevención, recomendamos tomar las siguientes medidas por parte de la empresa principal:

1. Implementar una política anticorrupción que se encuentre en sintonía con la regulación nacional, los estándares internacionales y la NTP ISO 37001 - Sistema de Gestión Antisoborno.

2. Implementar un código de ética para socios comerciales, compartiendo los principios y valores de orientación del comportamiento ético a los proveedores, subcontratistas y clientes.

3. Implementar un procedimiento de homologación de proveedores y subcontratistas que incluya la etapa de debida diligencia^[25].

4. Implementar el Sistema de Prevención de Lavado de Activos y Financiamiento del Terrorismo.

5. Implementar controles financieros como controles de pago a proveedores y flujos de caja, aprobaciones con doble firma, entre otros.

6. Suscribir cláusulas de cumplimiento, anticorrupción y antilavado en las que se establezca la prohibición de favorecer actos relacionados con estos delitos, bajo causal de resolución contractual y pago de indemnizaciones.

7. Impartir capacitaciones y sensibilización a los proveedores y subcontratistas, a intervalos planificados para que promuevan una cultura de ética e integridad en su organización.

La implementación de estas medidas es de carácter transversal y no taxativa, por lo que, de llevarse a cabo correctamente, ayudará de manera significativa en la reducción o exención de responsabilidad penal para todos los supuestos en los que la empresa se vea expuesta a riesgos delictivos propiciados por sus proveedores o subcontratistas.

De esta manera, si una empresa proveedora o subcontratista llegara a involucrarse en un delito, ya sea utilizando recursos propios o de la empresa principal, solo le alcanzará responsabilidad penal a esta última si no implementó las medidas de control y prevención de delitos propias de los sistemas de compliance que incluya a sus terceras partes. Por el contrario, la adopción de estas medidas podría excluir su responsabilidad.

6. A manera de conclusión

La legislación actual regula la responsabilidad administrativa de personas jurídicas por delitos de corrupción de funcionarios, lavado de activos, financiamiento del terrorismo y otros. Aunque no se prevé la responsabilidad administrativa de la empresa por delitos como los ambientales, societarios, financieros, etc., sí podría responder con otro tipo de sanciones, como las consecuencias accesorias y la reparación civil. En tal sentido, un sistema de compliance eficaz no ha de limitarse a prevenir únicamente los delitos que conllevan responsabilidad corporativa, sino que debe abarcar el mayor número de riesgos de delitos que se generen por la propia actividad empresarial.

La responsabilidad corporativa puede originarse por comportamientos propios de la empresa -léase sus administradores, directores o colaboradores-, así como por comportamientos realizados por sus proveedores o subcontratistas en la gestión de la cadena de suministro. Cuando ocurre esto último, podrá responder la empresa principal solo si incumplió con su obligación de seleccionar adecuadamente a su proveedor, para lo cual deberá seguir un proceso de debida diligencia al inicio del vínculo comercial. Asimismo, podrá responder y durante el transcurso de la relación comercial, si no cumple con supervisar adecuadamente a su proveedor o subcontratista y, por ende, desplegar medidas correctivas para que el proveedor efectúe correctamente el trabajo encomendado.

En este escenario, resulta fundamental que la empresa, además de ejercer el procedimiento de debida diligencia, despliegue una serie de medidas de compliance que involucren a sus terceras partes, de tal suerte que se promueva una verdadera cultura de ética e integridad, al mismo tiempo que se garantice su sostenibilidad a largo plazo.

Referencias

Alguacil Raymundo, Patricia. «Medidas de prevención en la relación con terceros». La Ley compliance penal, n.º 7 (2021).

Aparicio Santiago, Néstor. «La empresa y la gestión del riesgo de compliance en terceras partes». En Actualidad compliance 2019, dirigido por Juan Antonio Frago Amada, 107-121. Navarra: Aranzadi, 2019.

Atahuamán Páucar, Jhuliana. «¿Cómo diseñar un modelo de prevención de delitos y no morir en el intento?». Gaceta Penal & Procesal Penal, n.° 122 (2019).

Ayala del Pino, Cristina. «La responsabilidad social corporativa: concepto, ámbito de aplicación, grupos de interés y objetivos». Anuario jurídico y económico escurialense, n.° 54 (2021): 173-198. https://doi.org/10.54571/ajee.462

Beteta Carrasco, Danae. «La vital importancia de la etapa de monitoreo en la debida diligencia». The Latin American Lawyer, n.° 23 (2022): 78-79.

Caro John, José Antonio. Manual teórico práctico de teoría del delito. Lima: ARA, 2014. Carter, Craig y Dale Rogers. «A framework of sustainable supply chain management: moving toward new theory». International Journal of Physical Distribution & Logistics Management 38, n.° 5 (2008): 360-387. https://doi.org/10.1108/09600030810882816

Casanovas, Alain. «Diligencia debida interna y externa». En Actualidad compliance 2019, dirigido por Juan Antonio Frago Amada, 59-71. Navarra: Aranzadi, 2019.

Chávez, Jorge y Rodolfo Torres Rabello. Supply Chain Management (Gestión de la cadena de suministro), 2.a ed. Santiago de Chile: Ril Editores, 2012.

Gómez-Jara Díez, Carlos. «Fundamentos de la responsabilidad penal de las personas jurídicas». En Tratado de responsabilidad penal de las personas jurídicas, editado por Miguel Bajo Fernández, Bernardo Feijóo Sánchez y Carlos Gómez-Jara Díez, 89120, 2.a ed. Madrid: Civitas, 2016.

Jakobs, Gunther. «La imputación objetiva especialmente en el ámbito de las instituciones jurídico-penales del riesgo permitido, la prohibición de regreso y el principio de confianza». En Estudios de Derecho penal. Traducido por Cancio Meliá, Peñaranda Ramos, Suárez Gonzáles. Madrid: Civitas, 1997.

Lascuraín Sánchez, Juan Antonio. «La responsabilidad penal individual en los delitos de empresa». En Derecho penal económico y de la empresa, editado por Adán Nieto Martín, Juan Antonio Lascuraín Sánchez, Jacobo Dopico Gómez-Aller, Norberto J. de la Mata Barranco, 87-128. Madrid: Dykinson, 2018.

Maraver Gómez, Mario. El principio de confianza en Derecho penal. Un estudio sobre la aplicación del principio de autorresponsabilidad en la teoría de la imputación objetiva. Madrid: Civitas, 2009.

Mir Puig, Santiago. Derecho penal. Parte general. 10.a ed. Barcelona: Reppertor, 2016.

Miró Llinares, Fernando. «Inteligencia artificial y justicia penal: más allá de los resultados lesivos causados por robots». Revista de Derecho penal y criminología, 3.a Época, n.° 20 (2018): 87-130. https://doi.org/10.5944/rdpc.20.2018.26446

Montanyà Vilalta, Oriol. «La gestión del compliance como una oportunidad para mejorar la sostenibilidad de las cadenas de suministro». La Ley compliance penal, n.º 3 (2020).

Nieto Martín, Adán. «Responsabilidad social, gobierno corporativo y autorregulación: sus influencias en el derecho penal de la empresa». Política Criminal: Revista Electrónica Semestral de Políticas Públicas en Materias Penales 3, n.° 5 (julio, 2008). https://ssrn.com/abstract=2712397

Nieto Martín, Adán. El cumplimiento normativo como estrategia político-criminal. Buenos Aires: Hammurabi, 2022.

Nieva Fenoll, Jordi. Inteligencia artificial y proceso judicial. Madrid: Marcial Pons, 2018. Ribas, Xavier (dir.). Practicum Compliance 2020. Navarra: Tohmson Reuters, 2019.

Silva Sánchez, Jesús María. Fundamentos del Derecho penal de la empresa. 2.a ed. Buenos Aires: B de F, 2016.

United Nations Global Compact. Fighting Corruption in The Supply Chain: A Guide for Customers and Suppliers, 2.a ed. Nueva York, 2016.

Conflicto de intereses

El autor no presenta conflicto de intereses.

Financiamiento

Autofinanciado

Correspondencia

ppmendoza106@gmail.com

Trayectoria académica del autor

Paul Mendoza Vaez es abogado por la Universidad Nacional Federico Villarreal, magíster en Derecho Penal por las Universidades de Barcelona y Pompeu Fabra, magíster en Cumplimiento Penal Normativo por la Universidad de Castilla, La Mancha y especialista en Ciencias Penales por la Georg-August-Universität Göttingen (Alemania).