“Ya se sabe que son todos unos corruptos…”
Con esta frase se despacha una parte importante de la sociedad cuando piensa en los responsables de la gestión pública. Porque la evolución que ha experimentado la sociedad en los últimos años va acompañada de una clara desafección política y de una cierta pérdida de legitimidad democrática. Este escenario exige el recurso a técnicas innovadoras que permitan garantizar la integridad en la gestión pública y mejorar la rendición de cuentas a la ciudadanía. Y precisamente a dicho objetivo responde la traslación de las técnicas de Compliance al sector público, aunque su origen y proyección natural se sitúe en el sector privado.
Más allá de las derivadas penales de las técnicas de Compliance, su utilización en el sector público tiene una proyección de mejora transversal al conjunto de la organización y directa en términos de transparencia, integridad y buen gobierno. En definitiva, de mejora de la gestión pública, un objetivo frente al que nadie puede permanecer indiferente.
La OCDE, en su Recomendación sobre Integridad Pública, defiende el paso de un enfoque basado solo en la norma (“rules-based approach”), a un enfoque basado en prevención de los riesgos y establecimiento de principios y valores, afirmando que “los enfoques tradicionales, basados en creación de un mayor número de normas, observancia más estricta y cumplimiento más firme, han mostrado una eficacia limitada. Una respuesta estratégica y sostenible contra la corrupción es la integridad pública”.
Por ello, vamos a examinar cómo a través de 7 pasos puede definirse un programa de Compliance en el sector público que ofrezca respuesta a las necesidades e idiosincrasia propia del mismo.
1- Elaboración y gestión del mapa de riesgos
Si no conocemos los riesgos a los que estamos expuestos, difícilmente podremos prevenirlos y mucho menos gestionarlos. Para preservar y garantizar la integridad en la gestión pública resulta fundamental desarrollar una actividad orientada hacia la prevención, y en dicho contexto, en particular, para la gestión de los riesgos inherentes a la gestión pública, entendiendo como tal, cualquier riesgo de irregularidad, fraude y corrupción, así como cualquier conducta impropia que, sin vulnerar directamente ninguna norma, se pongan en riesgo los principios rectores del funcionamiento.
Y para ello, la identificación de los riesgos presentes en el día a día de la tramitación administrativa a través de la elaboración del correspondiente mapa de riesgos constituye el primer paso para afrontar su gestión integral de riesgos que tiene como finalidad buscar, describir, categorizar, así como priorizar el conjunto de riesgos que la institución tendrá que gestionar.
2- Fijación de protocolos o procedimientos para la adopción de decisiones o su ejecución
Un requisito indispensable a la hora de establecer el modelo de organización y gestión exigido por el artículo 31 Bis CP, es que establezcan los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos, pues sólo así será posible asegurar que no se producen desviaciones en dicho proceso, bien sea por factores externos o internos, vulnerando la finalidad del mismo.
Las entidades del sector público, en general, y las administraciones públicas, de un modo mucho más marcado, adoptan sus decisiones y ejecutan sus actos en el marco general del procedimiento administrativo y conforme a la normativa. Pero la norma no agota todos los escenarios ni contempla respuesta a las múltiples preguntas que se plantean. Las garantías normativas pueden no ser suficientes o pueden requerir de determinadas acciones que mejoren el proceso de toma de decisión en orden a posterior rendición de cuentas, a través de protocolos o instrucciones que permitan la mejor adecuación a la respectiva entidad.
3.- Aprobación de instrumentos de autorregulación: Códigos éticos y de conducta
En un modelo de Estado que se caracteriza, en ocasiones, por su marcado carácter hiperregulador, la autorregulación en materia de ética pública como herramienta para el aseguramiento de las políticas de integridad institucional cobra relevancia por el compromiso que representa y la flexibilidad de esta herramienta frente a rigideces normativas, sin perjuicio de ciertas debilidades que el modelo presenta y que pueden reajustarse a través de la utilización de las técnicas de Compliance.
La conexión entre los instrumentos de autorregulación en la administración pública y las herramientas de Compliance encaja perfectamente en la formulación de los marcos de integridad institucional de la OCDE. Se configuran como “instrumentos vivos”, que exigen para su eficacia y completar el modelo, acompañarse de un adecuado sistema de control y evaluación, que debe de permitir, en cada momento, analizar su evolución, así como el grado de cumplimiento de sus objetivos y, en su caso, las desviaciones que se produzcan en el mismo, ponderando, en su caso, la necesidad de reformular sus contenidos para adaptarlos a las necesidades y demandas sociales existentes en cada momento y de ofrecer un marco de integridad institucional en la actuación de la administración pública, en un anticipo de las técnicas de compliance.
4.- El establecimiento de un órgano de control: posibilidades y realidades en el actual ecosistema
La existencia de un Compliance Officer en una entidad pública plantearía, al menos, dos preguntas. Por un lado, el tipo de funciones que puede desempeñar, y, por otro, cómo se articula, si con personal propio, contratación externa, órgano unipersonal, colegiado, etc. En relación con la cuestión del tipo de funciones que puede desempeñar un compliance officer, entendiendo la dualidad que presenta esta figura, en función de si se trata de administración local, exentas de responsabilidad penal o entidades mercantiles públicas locales sujetas en virtud del artículo 31 quinquies CP. En ningún caso parece que pueda predicarse la exclusividad de dichas funciones, siendo la naturaleza, entidad y dimensión en cada caso la que determinará dicha compatibilidad, como lo demuestra el ejercicio, en algunos caso, de funciones reservadas a los funcionarios de administración local con habilitación de carácter nacional al tiempo que se encomiendan las responsabilidades de delegado de protección de datos, por ejemplo.
Una vez delimitado el ámbito funcional del Compliance Officer sería necesario establecer su vínculo con la respectiva entidad pública, cómo se articula su engranaje en la organización. Para ello, la encomienda de estas funciones podría incardinarse en un modelo que se integrase en la organización, bien precisamente en coordinación con los servicios internos, de la asesoría, o a través de un órgano colegiado, a modo de comité ético, etc. Los planes antifraude en el sistema de gestión del PRTR ha venido a generalizar estas figuras, que en cierta medida replicaría el modelo del Delegado de Protección de Datos o Responsable del Sistema Interno de Información.
5.- La incorporación de un canal de denuncias y de un sistema de protección del denunciante
La aprobación de la Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción ha venido a colmar el vacío de una regulación completa sobre esta cuestión que constituye uno de los pilares para el funcionamiento eficaz de cualquier programa de compliance. Así lo reconoce la regulación penal al contemplar como uno de los elementos del programa de cumplimiento “Imponer la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención”.
Por tanto, se conecta de este modo la buena práctica de seguir un modelo de compliance con el cumplimiento de una obligación legal que adquiere mayor valor en el contexto de un sistema completo de integridad, y en el que funcione como medida de detección y, en su caso, persecución de irregularidades y casos de fraude y corrupción. La relevancia de contar con el canal de denuncias ya había sido puesta de manifiesto en la Circular 1/2016, del 22 de enero de 2016, de la Fiscalía General del Estado sobre la Responsabilidad penal de las personas jurídicas exige “la existencia de unos canales de denuncia de incumplimientos internos o de actividades ilícitas de la empresa”, al entender que “es uno de los elementos clave de los modelos de prevención.
6.- Disponer (y aplicar) el sistema disciplinario frente al incumplimiento
Los incumplimientos en materia de integridad pueden ser de muy distinta naturaleza y afectar a sujetos de distinta condición, responsables políticos, empleados públicos y a aquéllos que forman parte del entramado público. A través del programa de cumplimiento normativo podrán concretarse las distintas vías a utilizar en cada caso, en función del sujeto responsable de dicho incumplimiento y la naturaleza del vínculo con la respectiva entidad pública, y la necesidad de una aplicación real y efectiva (una gran deficiencia en el modelo actual, puramente formal).
La adecuada configuración de un marco de integridad institucional o de cumplimiento normativo en la gestión pública requiere contar con un sistema de responsabilidad que permita aplicar, en su caso, las medidas disciplinarias frente a aquellos incumplimientos que se hayan detectado en ejercicio de la función de Compliance. Es preciso subrayar la complejidad, en ocasiones, de establecer sanciones a comportamientos o conductas que parecen situarse en la esfera personal de los afectados de lo que se deriva, en cierta medida una percepción de impunidad en este ámbito por conductas irregulares que pueden devenir en corrupción, proponiendo algún sector doctrinal a la creación de una infracción que apunte al máximo responsable de cada unidad administrativa, sin perjuicio de la exploración de otros modelos existentes en el derecho comparado, como sucede en Italia, donde la legge n. 190 ha señalado expresamente que el incumplimiento de las disposiciones relativas al control de la corrupción constituye una infracción disciplinaria.
7.- Verificación periódica del modelo y su eventual modificación
Lo que no se mide no puede mejorar. Apelo con frecuencia a este clásico que resulta aplicable a cualquier ámbito. Y es que el monitoreo y seguimiento de la actividad para la evaluación de las políticas públicas constituye una característica propia de las sociedades democráticas y avanzadas, garantizando, de este modo, el control de las mismas y la corrección de las posibles desviaciones, elemento esencial,de un programa de compliance en los términos legalmente establecidos para el ámbito penal, en cuanto exige la realización de una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o bien cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios. De este modo, una vez identificados y valorados los riesgos, es necesario establecer y adoptar las políticas, procedimientos y medidas de control que procedan para el tratamiento y disminución de esos riesgos.
Un buen sistema de evaluación y seguimiento del programa de complimiento debe permitir la introducción de las modificaciones oportunas cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que exijan los correspondientes ajustes, o, simplemente, para garantizar la permanente eficacia y validez del modelo debemos examinar el ecosistema de los órganos de control existente
En definitiva, para que este modelo de organización y gestión sea eficaz, el propio programa debe contemplar, entre sus objetivos, no solo el cumplimiento de las normas, sino también el desarrollo y mantenimiento de una cultura corporativa ética (US Federal Sentencing Guidelines for Organizations, 2004), en la que se ponga el foco no solo en lo que se hace, sino en cómo se hace.
NOTA: Esta entrada es una versión resumida y actualizada del capítulo «Traslación de los programas de Compliance al Sector Público a través de la transparencia y el buen gobierno», parte de la obra colectiva Guía práctica de Compliance en el sector público, disponible en el siguiente enlace .