El riesgo de Compliance es aquél que tiene una empresa de sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, normativas, normas internas o códigos éticos que se apliquen a su actividad, pero no se debe olvidar que a veces estos incumplimientos constituyen delitos, que han de ser prevenidos.
La prevención de las conductas penales en la empresa contribuye notablemente a mejorar el comportamiento ético de las personas que las integran. Por ello, no se comprende que una empresa que se manifieste comprometida con valores empresariales éticos no disponga de un modelo de prevención penal.
El art. 31 bis, 1 del Código Penal, en la redacción dada por Ley Orgánica 1/2015, de 30 de marzo, establece la responsabilidad penal de las personas jurídicas en los delitos cometidos, en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma, así como también en los delitos cometidos, en el ejercicio de actividades sociales, y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas antes mencionadas, han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad atendidas las concretas circunstancias del caso.
La responsabilidad criminal de las personas jurídicas no excluye la de las personas físicas que actúen en su seno, ni a la inversa, por lo que hoy el riesgo de negocio de la empresa no se limita a las posibilidades de competir económicamente con éxito en el mercado, sino que ahora se le agrega el riesgo de responsabilidades jurídicas o normativas.
Para ello el Programa de Cumplimiento Normativo establecerá la cultura empresarial, actualizada y permanentemente difundida en los distintos niveles, relativa al estricto cumplimiento de la legalidad en todos los sectores del ordenamiento jurídico afectados por la actividad societaria, de tal forma que será un protocolo o mecanismo integrado estatutaria, orgánica y jerárquicamente en la sociedad para ejercer el “debido control”, evitando conductas indeseables de sus directivos y empleados, con la finalidad de aminorar los riesgos de que la empresa incurra en responsabilidad criminal.
Precisamente, por ello, se exime de responsabilidad criminal a la persona jurídica cuando el hecho delictivo hubiera sido cometido por directivo o por un empleado, si el órgano de administración ha adoptado, implantado y ejecutado con eficacia, antes de la comisión del delito, un Programa de Cumplimiento Normativo con las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión, pero si se tratase de un directivo para que se produzca la exención de responsabilidad penal además se requiere que se haya confiado la supervisión del funcionamiento y del cumplimiento del Programa de Cumplimiento Normativo a un órgano de vigilancia y control con poderes autónomos de iniciativa y de control y que el directivo haya cometido el delito eludiendo fraudulentamente el citado Programa y siempre que no se haya producido una omisión o un ejercicio insuficiente de las funciones de supervisión, vigilancia y control por parte del citado órgano de vigilancia y control.