Caso BBVA: ¿puede ser el 'compliance' su salvavidas?
No es un juego. Hacerlo bien puede marcar la diferencia entre la continuidad de una compañía o su desaparición
Finalmente, como se sabe, el BBVA ha sido imputado por presuntos delitos de cohecho, descubrimiento y revelación de secretos y corrupción en los negocios. Presuntamente, el BBVA permitió que sus empleados aceptaran dádivas del comisario de Policía jubilado José Manuel Villarejo a cambio de facilitar contratos con el grupo empresarial CENYT, propiedad del exagente policial. Además de, también presuntamente, encargar seguimientos personales y permitir el acceso a comunicaciones o documentación bancaria, con la consecuente vulneración de los derechos fundamentales de varias personas.
La última noticia al respecto parece confirmar este último punto, con la confesión de un antiguo empleado de la entidad que ha reconocido haber entregado información confidencial de clientes del BBVA a personas próximas al excomisario y consideradas miembros de la trama que el juez García Castellón está investigando.
La cuestión aquí, en caso de confirmase los delitos que se imputan al BBVA, es dilucidar si estas actuaciones fueron perpetradas por individuos concretos sin conocimiento de la dirección de la entidad.
En este sentido, y con toda probabilidad, el BBVA se agarrará como a un clavo ardiendo a su programa de compliance para evitar ser condenado. Para situarnos: un programa de compliance es el conjunto de procedimientos y buenas prácticas adoptados por las empresas para identificar y clasificar los riesgos operativos y legales a los que se enfrentan y establecer mecanismos internos de prevención, gestión, control y reacción frente a los mismos.
El Código Penal, desde 2015, contempla que se puede atenuar o incluso exonerar a una empresa de su culpabilidad en casos de delitos penales si se demuestra que se ha implantado en la organización un programa de compliance real.
¿Por qué hablamos de un programa de compliance real?
Muchas empresas ya cuentan con controles específicos implantados para garantizar el cumplimiento, pero ahora se trata de dotar a todos estos controles de una estructura que esté alineada con todos los procesos de la compañía. Eso se logra a través de un sistema de gestión que impregne toda la organización y que, por supuesto, tenga el apoyo de la dirección de la empresa. Sin esto, un programa de compliance no funcionará.
¿Tiene o no tiene el BBVA y otras empresas que ya están siendo investigadas un programa de compliance real? ¿O era puro maquillaje para cumplir con el expediente? El BBVA fue el primer banco español en obtener el reconocimiento de AENOR en gestión de compliance penal según UNE19601, pero esta certificación es posterior a los hechos que se le imputan. Está claro que el riesgo cero no existe. Se puede tener un buen programa de riesgos y que aun así una o varias personas de una organización comentan un delito. Pero si podemos demostrar que ese modelo es real, efectivo e implantado y supervisado, es muy posible que sea exonerada su responsabilidad como persona jurídica en un caso penal.
La diferencia entre ser exonerada o condenada, para una empresa, es abismal. Además del daño reputacional que implica (al BBVA ya le está pasando factura, no tanto en sus clientes de a pie, pero sí entre sus inversores actuales y potenciales), la multa podría llegar a los 9,15 millones de euros. Pero la multa no es lo peor, por lo menos para el BBVA, que podría afrontarla probablemente. Cualquier compañía imputada se arriesga a la disolución, a la suspensión de su actividad por un máximo de 5 años o a la inhabilitación para obtener ayudas públicas o contratar con el sector público, entre otras consecuencias.
Así que, cuando muchas empresas nos preguntan si es obligatorio implantar un programa de compliance, la respuesta es: la ley no te obliga, pero, como se ve, es altamente recomendable para conseguir una defensa efectiva en caso de ser la empresa imputada por un delito penal.
En este caso, el BBVA, tendrá que demostrar que contaba con ese programa efectivo en el momento de los hechos imputados, que no se trata de un compliance de maquillaje o paper program. Y que los presuntos delitos han sido cometidos por personas que han eludido los controles, que no se ha producido omisión o dejación en las funciones de supervisión y vigilancia de quien tenía encomendadas esas funciones.
Por eso, los modelos estándar de programas de compliance no sirven, porque lo que sirve para una empresa puede no ser útil para otra. Cada una tiene riesgos concretos en función de sus actividades y procesos y debe diseñar su sistema y controles ad hoc. El trabajo de diseñar un sistema de compliance es minucioso, pero esta es la clave para poder implementar algo que en la teoría parece fácil, pero cuando una organización se enfrenta a ello por primera vez no resulta así.
El compliance no es un juego. Hacerlo bien puede marcar la diferencia entre la continuidad de una compañía o su desaparición.
María Martín Pardo de Vera, Responsable de Consultoría de Helas Consultores