Poner en marcha modelos de cumplimiento normativo en las organizaciones contribuye a la exención de responsabilidad penal por descuido de la vigilancia debida y es, sobre todo, un aliado estratégico para la implantación de una cultura ética que respete los valores más profundos de la entidad.
En consecuencia, contar con un programa de regulación y cumplimiento legal en las entidades eclesiásticas es una necesidad que se aprecia cada vez más insoslayable.
Ese fue uno de los principales mensajes enviados en el ForoPalabra del año pasado por los ponentes, Alain Casanovas, responsable de servicios de Legal Compliance en KPMG España, y Diego Zalbidea, profesor de Derecho Patrimonial Canónico en la Facultad de Derecho Canónico de la Universidad de Navarra. Un coloquio organizado por la revista Palabra, que tuvo lugar en una céntrica sede madrileña del Banco Sabadell.
Aquel foro dejó los asistentes el deseo de concretar más un eventual modelo de compliance, lo que ha podido cumplirse el pasado mes de junio, de modo virtual, con decenas de participantes que formularon numerosas preguntas a los mismos ponentes. El tema del ForoPalabra ha sido Implantación de un programa de Compliance en una entidad eclesiástica. Case study.
Presentó el webinar el director de Palabra, Alfonso Riobó, quien cedió la palabra al director de Instituciones Religiosas del Banco Sabadell, Santiago Portas, y luego a los ponentes. El coordinador técnico de la sesión fue el responsable informático de la archidiócesis de Burgos, José Luis Pascual, y se contó también con la colaboración del Centro Académico Romano Fundación (CARF).
Participaron numerosas personas, tanto desde España como desde varios países de América. Entre ellos se contaban responsables de entidades eclesiales: conferencias episcopales, diócesis, vida consagrada, asociaciones, movimientos y otras instituciones; así como abogados, profesores y otros interesados.
Método del caso: una diócesis imaginaria
A la celebración de la sesión formativa precedió el estudio por parte de los asistentes de un caso práctico (“case study”), que elaboró para esta ocasión el profesor Diego Zalbidea. El caso se articuló en torno al esquema institucional y a las actividades desarrolladas por una diócesis imaginaria, desarrolladas por entidades de diverso orden y categoría. La diócesis diseñada fue de tipo medio-grande; por ejemplo, a título indicativo, constaba de 315 parroquias con 280 sacerdotes, y 1.145 empleados en las organizaciones de todo su perímetro de consolidación. Para organizaciones eclesiásticas diferentes de la diócesis, el caso planteado servía en todo caso de paradigma.
Sobre la base de esos datos, se propuso el trabajo conducente a la implantación de programas de cumplimiento normativo para las diversas actividades. El primer paso, y fundamental, según la propuesta de Diego Zalbidea para el conjunto de la sesión, fue determinar la arquitectura del modelo de compliance. Si se tratara de entornos muy sencillos —por ejemplo, en caso de que existiera una sola entidad que lleve a cabo una única actividad— quizá este primer paso podría resultar superfluo; pero se hace más necesario a medida que crece la complejidad, y desde luego lo es en el caso-tipo el planteado, donde hay una variedad de entidades y que desarrollan actividades diferentes.
La determinación de la arquitectura del modelo permite identificar aspectos como: a) el nivel de centralización del entorno de control, de lo que depende que pueda ser necesario un solo órgano de compliance a nivel de la diócesis, que hayan de existir varios órganos independientes, o que puedan combinarse un órgano central con delegados en las distintas actividades; b) el nivel de supervisión, pues en algunas situaciones puede bastar que el órgano se limite a señalar directrices, en otros casos debe dar instrucciones y supervisar su cumplimiento, y finalmente puede hacer supuestos en los que deba ejecutar directamente las actividades de control.
La arquitectura resultante no tiene por qué ser uniforme en los distintos niveles; además, podría ser centralizada en relación con algunas actividades que lo requieran y descentralizada en relación con otras.
Una vez definida la arquitectura del modelo se puede pasar a determinar el órgano u órganos de compliance, así como su composición; a fijar el nivel de supervisión; a determinar (mediante protocolos) algunos elementos esenciales como las políticas básicas y los canales de comunicación; a determinar el número de evaluaciones de riesgo que hay que desarrollar; y a elaborar los documentos que describirán el modelo.
Una organización compleja
“En organizaciones pequeñas, o en una empresa pequeña, el compliance no tiene excesiva dificultad. Sin embargo, cuando hablamos de organizaciones complejas, como es el caso de una diócesis, nos asaltan un montón de dudas”, señaló en su intervención Alain Casanovas.
“En una diócesis se llevan a cabo actividades muy diversas por entidades de naturaleza muy distinta también. Significa eso que hemos de tener un modelo de compliance alineado con esas buenas prácticas que veíamos. ¿Pero hemos de tener un modelo en todas y en cada una de las entidades, lo hemos de tener por actividades, lo hemos de tener a nivel de diócesis? ¿Cómo lo debemos de tener?”. Fue un conjunto de cuestiones cuya respuesta fue desgranando el experto de KPMG, bien en su intervención, o en las respuestas a las preguntas que se fueron formulando, junto al profesor Diego Zalbidea.
En síntesis, Alain Casanovas distinguió “entre modelos centralizados, modelos descentralizados, y modelos híbridos. Los modelos centralizados son aquellos donde hay una concentración en la toma de decisiones, e iríamos a un modelo de compliance centralizado, bien de nivel 1, donde el sistema es muy verticalizado, o de nivel 2”. El modelo 2 sigue siendo el corporativo, “pero las entidades tienen cierto nivel de autonomía, se les van dado directrices, y se asegura que las cosas se hacen bien. En todo caso, hay un nivel de supervisión elevado”.
“En el punto 3 hablaríamos de una diferenciación de competencias. Sería, salvando todas las distancias, como las competencias del Estado y las de las comunidades autónomas. Es decir, algunas competencias son de la entidad, y otras son claramente de la casa principal, de la matriz”.
“El escenario 4 es el de plena autonomía, en el que cada una de las entidades, con sus actividades, disfruta de plena autonomía y tiene autonomía de gestión y la capacidad de tomar sus decisiones. Es el escenario completamente opuesto al de una gran unidad en la toma de decisiones, el nivel 1”.
En un modus operandi descentralizado, donde hay actividades centrales y otras más a nivel de actividad o de entidad, “iríamos a modelos híbridos, y luego si es descentralizado, a modelos descentralizados”, añadió el abogado.
Ventajas, inconvenientes
“En los modelos centralizados, a nivel central se tiene una visión muy detallada de todo lo que pasa, y se puede ejercer esta prevención, detección y gestión temprana de incidentes de forma uniforme y consistente en todo el perímetro. Existe una gran capacidad de poner un modelo de compliance monopolítico en toda la organización”.
“El gran inconveniente es que los modelos centralizados producen un entorno muy propicio a la contaminación de responsabilidades”, añadió Alain Casanovas. “Es decir, en un incidente en una entidad dentro del perímetro de este gran conglomerado de entidades y actividades, es muy fácil que esa responsabilidad legal —ya no hablamos sólo del tema de imagen—, se transmita, acabe subiendo a todo el grupo. Al final, se acaban pidiendo explicaciones y responsabilidades a nivel de grupo”.
Los modelos híbridos, que son una mezcla, tienen también ventajas e inconvenientes, señaló. “La ventaja es que se ciñen muy bien a las necesidades locales. Es más fácil hacer una buena gestión cuando se tiene proximidad a la actividad, incluso geográfica.
Relativo a las parroquias
En cuanto a lasparroquias, “deberíamos preguntarnos: ¿una parroquia qué nivel de autonomía tiene? ¿Puede hacer lo que quiera? De este modo podemos estudiar si puede tener un modelo de compliance concreto, o sin más la traslación del modelo de compliance de la entidad o del organismo del que dependa. Esto nos determinará el nivel de supervisión”, señaló Alain Casanovas.
El profesor Zalbidea informó que “en estas sesiones están participando bastantes párrocos. Habrá parroquias que tiene recursos y pueden hacerlo, pero en España hay 23.000 parroquias y la mayor parte no son capaces de tener un órgano de compliance, sino que parece necesario que desde la Curia les apoyen y establezcan los parámetros”.
Cuestiones prácticas
Algunas preguntas quisieron ahondar más en cuál sería el modelo razonable de compliance para una diócesis; en los pasos que podría dar la Conferencia Episcopal (CEE), y en las curias diocesanas. He aquí un extracto de algunas de las respuestas en el coloquio conducido por el profesor Diego Zalbidea. Las iniciales corresponden a los ponentes citados:
A.C.: “En una diócesis compleja, con muchas actividades, no hay una respuesta universal para implantar un modelo. Quizá podemos acabar en un modelo híbrido porque es lo más normal. En el caso de una diócesis se comparten un proyecto común y una imagen común. Eso es obvio. Este hecho nos lleva a modelos o centralizados o híbridos”.
D.Z.: “Soy de la misma opinión”.
A.C.: “Mi conocimiento de las actividades de una diócesis es mucho más limitado que el del profesor Zalbidea, pero seguramente iríamos por un modelo híbrido donde hubiera un ámbito de políticas y de controles básicos, y hablo de un mínimo de mínimos. Visto desde fuera y con todas las salvedades, lo que tiene sentido es un modelo con un entorno de control y de parámetros de conducta, de políticas, que sea común, y a partir de ahí, desarrollarlo a nivel local, con delegados o con modelos propios dependiendo del nivel de autonomía de las actividades”.
D.Z.: “Preguntan qué pasos debería dar la Iglesia en este campo; en las diócesis, la propia Conferencia Episcopal…”.
A.C.: “Hay asuntos de toma de decisiones que se me escapan muchísimo. Quizás desde la Conferencia Episcopal una aproximación sería establecer un modelo de mínimos de diócesis, para que esas diócesis vayan haciendo cascada aguas abajo, pero que se exija un común denominador. En ‘compliance’, en lo que se refiere a grupos grandes mercantiles, que son las que conozco más, no va bien la falta de coherencia. Quizá a nivel de Conferencia Episcopal, puede establecerse un mínimo común denominador a nivel de diócesis, y que las diócesis, a partir de ese mandato, lo fueran trasladando hacia abajo, y tuviéramos un común denominador en todas las diócesis, adaptado a las singularidades de cada una de ellas”.
D.Z.: “El tema ahí es que la Conferencia Episcopal como tal no tiene competencias normativas en la mayoría de estos delitos con respecto a las diócesis. Otra cosa sería solicitar a la Santa Sede una delegación especial para dar una normativa específica para todas las diócesis”.
D.Z: “Otra pregunta. La Curia tiene un papel central en el gobierno de la diócesis, donde se gestan la mayor parte de las decisiones. ¿Sería la Curia el departamento en el que deben concurrir y sintetizarse los programas de compliance”?
A.C.: “Tiene todo el sentido. Pero habría que ver si se cumplen los parámetros internacionales de independencia y autonomía. Pero en líneas generales tiene sentido”.
Z.B.: Llegan preguntas también canónicas. Dentro de un organigrama estándar de una curia diocesana, ¿dónde situaríamos al delegado de compliance? Y conectada con ésta, ¿quién podría asumir ese papel dentro de una diócesis, y dónde habría que colocarlo?
A.C.: “Los estándares exigen que sea una posición cercana a los órganos de gobierno. Porque sus objetivos son de supervisión y asesoramiento, pero no son de decisión. El órgano de compliance o el compliance officer no adoptan decisiones, son una pieza en la cadena, que vigila que se cumplan las leyes y los compromisos asumidos por la organización, y por tanto va monitorizando qué está pasando y sugiere a los órganos que tengan capacidad de decisión, que adopten las medidas que sean oportunas.
Pero no forma parte de su autonomía adoptar decisiones, porque esas decisiones en el ámbito mercantil corresponderán a los órganos que establezcan la ley de sociedades de capital o el Código de Comercio; y en el ámbito eclesiástico, a los órganos que determine el Derecho eclesiástico. En cualquier caso, sí tiene que ser un órgano cercano a los órganos de toma de decisiones, para comunicarse de forma fluida con ellos, y tomar acciones inmediatas cuando hace falta”.
D.Z.: “Desde un conocimiento canónico, lo ideal es que fuera un órgano al máximo nivel dentro de la diócesis, cercano al obispo, y con una cierta independencia respecto de quienes por debajo del obispo están sometidos a su autoridad y toman decisiones, es decir, los vicarios. Con un grado de independencia para que pueda decirle al obispo, que es el administrador de la diócesis, las cosas que no se están cumpliendo y los riesgos que puede recaer sobre el propio obispo, que al final es quien puede ver implicada o contaminada su responsabilidad. Por lo tanto, pienso que cuanto más arriba en la diócesis, mejor, y cuanto más independente de la toma de decisiones, mejor.
Por qué tener un modelo
En la sesión preguntaron al experto de KMPG por los seguros de responsabilidad civil. Alain Casanovas señaló que los seguros de responsabilidad civil cubren consecuencias civiles, “pero no cubren nunca la responsabilidad penal. El Código Penal pone penas, pero no compensaciones, que es el ámbito civil”.
“La única forma de dormir tranquilo en materia de compliance es hacer lo que uno buenamente puede” –añadió–. “Primero, no estar parado, la inactividad no es nunca un buen consejo; y en segundo ligar, avanzar y tener esta diligencia, esta proactividad, y decir: mire, las cosas no han salido bien. Pues no habrán salido bien, pero al menos hice todo lo que pude en el ámbito de mis posibilidades para que esto no fuera así”
Hasta qué punto es obligatorio tener un programa de compliance en las organizaciones fue otra de las cuestiones. Alain Casanovas se pronunció con claridad: “Obligación no hay ninguna. Cuando decimos que el artículo 31 bis del Código Penal lo exige, no es técnicamente correcto. Lo que dice es que si se comete el delito en una persona jurídica, disponer de un modelo de compliance puede mitigar esa responsabilidad criminal, o incluso eximir a esa persona jurídica de esa responsabilidad criminal, cosa que sucede en España, pero es tremendamente inhabitual en el Derecho comparado.
Somos uno de los pocos países donde tenemos un modelo muy desequilibrado, en el sentido de que si tenemos un modelo de compliance, aunque no sea obligado, tenemos unas grandes ventajas, y si no lo tenemos, tenemos unas grandes desventajas. Es un modelo deliberadamente sesgado para motivar al empresariado a disponer de un modelo de compliance. Pero no existe la obligación. Sin embargo, la circular 1/2016 de la Fiscalía General del Estado señala lo importante que es hacer las cosas no solamente de forma legal, sino también de forma ética”.
También debo decir que ninguna gran organización se plantea no tener un modelo de compliance, dado ese gran desequilibro entre ventajas de tenerlo e inconvenientes de no tenerlo. En la sociedad actual es prácticamente impensable”.
En cuanto al compliance manager, o compliance officer, Alain Casanovas manifestó que “el Código Penal es de mínimos. Pero la circular 1/2016 de la Fiscalía General del Estado y los estándares internacionales y nacionales sí se refieren a ello. El órgano de compliance ha de estar dotado de dos factores: autonomía e independencia. Cuanto mayor es el nivel de autonomía, más capacidades tiene el compliance manager o el compliance officer. Eso le viene por delegación, no quiero que haya malos entendidos, no tiene una placa de sheriff con poderes omnímodos. La independencia es la neutralidad en la toma de decisiones, de forma que su recto proceder no se vea conculcado por intereses, por ejemplo, participa en la toma de decisiones y al mismo tiempo tiene que enjuiciar”.