La Ley 21.595 modificó la regulación completa de un mercado de nicho. Bajo la formulación original del artículo 4 de la Ley 20.393, los modelos de prevención de delitos podían ser certificados por empresas externas. La Norma de Carácter General 302 de la Comisión para el Mercado Financiero (CMF) establecía los requisitos para inscribirse como empresa certificadora de modelos y la incompatibilidad en la prestación de este servicio con aquel de consultoría o asesoría en el diseño e implementación del modelo. A la luz de esta regulación se desarrolló un pequeño mercado de certificación externa del cumplimiento de los requisitos establecidos por la Ley 20.393 por el “modelo” de una empresa. La promesa para las empresas es que ello ayudaba a mitigar los riesgos, al contar con un dictamen legalmente reconocido de que la empresa cumplía con contar con un modelo y, con ello, no podría ser penalmente condenada. La nueva formulación del artículo 4 eliminó la referencia a la certificación externa y la remisión a la potestad administrativa de la CMF para reglar estos servicios. En su lugar, la ley establece ahora la exigencia de que se “prevean evaluaciones periódicas por terceros independientes” y que se realice mejora continua a partir de esas evaluaciones. La emisión de certificados de cumplimiento con reconocimiento institucional desapareció. La caída de la certificación institucional se produjo por varias razones. En parte, el formalismo asociado a la expedición de un certificado con valor legal fue cuestionado al reformarse la Ley 20.393. Como se trataría de un servicio de certificación de cumplimiento de requisitos legales, la práctica habría tendido a revisiones más bien superficiales de cumplimiento de lo que formalmente exigía la ley. Mucho más importante, las certificaciones generaban una promesa que difícilmente podían cumplir: que serían consideradas para dar cuenta de adecuación del modelo y así reducir al máximo la contingencia de ser objeto de pena. En la pequeña práctica sancionatoria del Ministerio Público, ello nunca sucedió.

La nueva regulación de la Ley 20.393 tiene dos diferencias sustanciales, ya a nivel formal, con la anterior. En primer lugar, si se compara uno a uno la función de certificación con la nueva función de revisión externa, se sustituyó un servicio opcional con efectos incierto por un requisito formal de adecuación. Antes de la modificación, era claro que un modelo sin certificación externa podía ser perfectamente adecuado. Con la nueva regulación, un modelo no puede ser adecuado si no contempla y no se ejecutan a su respecto revisiones externas periódicas. Tener esto en consideración es fundamental para interpretar adecuadamente la exigencia. La segunda diferencia se encuentra en el paso de un mercado tibiamente regulado por la CMF a un mercado completamente desregulado. El nuevo artículo 4 no le otorga potestad regulatoria a la CMF. La NCG 302 perdió así vigencia. Con seguridad, ya no habrá ni registro de prestadores de servicios ni regulación explícita de incompatibilidades. La regulación estatal del servicio de revisión externa se agota en una frase y, en lo esencial, en las palabras “revisión externa independiente”.

Como es obvio, el cambio ha generado alguna incertidumbre en las empresas. ¿A quién pueden contratar para realizar la revisión externa y en qué condiciones? La incertidumbre es todavía mayor: ¿en qué consiste exactamente la revisión externa? Una primera respuesta a las dos preguntas ha tenido lugar por asociación con el antiguo modelo de la certificación. Bajo la lógica de la certificación, aquello que debe ser revisado externamente es la adecuación “del modelo”, llevando a la emisión de un dictamen de adecuación. Esto implica que la función de revisión es ante todo una de juicio. Como de lo que se trata es de emitir un “juicio objetivo de adecuación del modelo”, los partidarios de esta interpretación han enarbolado distintas tesis sobre incompatibilidades tácitas a la regulación del artículo 4. La más repetida —básicamente por el efecto de la NCG 302— es que habría incompatibilidad con el consultor de diseño, implementación o actualización del “modelo”. La frase “revisor externo independiente” no debiera ser interpretada solo como “independiente a la empresa” en cuestión, sino también como “independiente a la consultora de diseño”. Algo menos recurrentemente, también se ha sostenido que habría incompatibilidad con todo otro servicio prestado por el revisor externo a la empresa, ya que ello le privaría de objetividad e imparcialidad al dictaminar. Por supuesto, estas dos incompatibilidades pueden ser, bajo condiciones específicas y con regulación completa, alternativas razonables de diseño de auditoría externa en ciertos mercados, pero hay tres razones decisivas para rechazarlo como interpretación del texto legal de la Ley 20.393: el nivel de regulación que exhibe es insuficiente para ese nivel de exigencias, las consecuencias de la interpretación pueden ser devastadoras para quienes hagan otra lectura, y ella implica, nuevamente, más promesas de lo que es posible cumplir en la gestión de riesgos penales.

El primer punto se refiere al nivel de regulación que exige la conformación de un mercado de auditoría independiente, entendida como incompatibilidad con otras formas de prestación de servicios. Esto puede entenderse por referencia a la regulación de la auditoría de estados financieros. La auditoría de estados financieros es un ámbito de mucha mayor madurez, historia e importancia que el desarrollo de sistemas de gestión de riesgo (y muchísimo más que la gestión de riesgos penales). Su relevancia no se refiere solo a contingencias legales, sino ante todo al efecto que los estados financieros tienen en los mercados de valores (abiertos y cerrados). Contar con estados financieros confiables es fundamental para el funcionamiento de mercados con inversionistas societarios; por ello, una ya recurrente polémica se refiere a la posible afectación de independencia del auditor externo cuando presta servicios que no son de auditoría (NAS, por sus siglas en inglés) —la connivencia con los intereses de la empresa generaría limitaciones a la capacidad crítica del auditor externo—. En algunos sistemas ello ha llevado a la producción de regulación completa sobre independencia material del auditor.

El 2002, la Ley Sarbanes Oaxley buscó hacer frente a los escándalos de fraudes contables en Estados Unidos estableciendo una regulación limitada de incompatibilidad en su sección 201 que reforma la sección 10A de la Securities Exchange Act (algo así como nuestra Ley de Mercado de Valores). Bajo esa regulación, las empresas con emisión de valores públicos deben contar con servicios de auditoría cuyo prestador tiene incompatibilidad parcial con otros servicios de asesoría —existiendo una cláusula que determina el monto de los otros honorarios que le pueden ser pagados sin comprometer esa independencia—. La regulación es extraordinariamente exhaustiva. En Chile, los artículos 242 a 244 de la Ley de Mercado de Valores establecen una prohibición de prestar servicios simultáneos y la realización de la auditoría externa de estados financieros. Las obligaciones de información son comparativamente eximias y pueden ser exceptuadas. Pretender que una regulación de tres palabras (“revisión externa independiente”) pueda cumplir la función completa de SOX sobre estados financieros de emisores de valores públicos, cuando ello no es ni siquiera así en la regulación de mercado de valores chilena, parece al menos inverosímil. La segunda razón es todavía más importante. La Ley 20.393, al regular los modelos de prevención de delitos, no establece obligaciones administrativas cuyo incumplimiento pueda ser señalado con amonestaciones y multas y a cuyo respecto se puedan acomodar las empresas. La Ley 20.393 establece las condiciones en que se aplican penas a las personas jurídicas, esto es, sanciones con consecuencias patrimoniales, reputacionales y de funcionamiento potencialmente catastróficas.

La incorporación de exigencias tácitas no contempladas en la ley tiene así efectos potenciales demoledores, sin una fuente institucional ni regulación asociada. Piénsese en las empresas que, confiando en sus auditores o consultores, siguen contratando sus servicios para revisión externa. Imagínese que el revisor externo además le presta servicios de auditoría externa, que hace un buen trabajo y que la empresa se lo toma en serio y adopta las recomendaciones. Esto es una configuración probable de la práctica futura chilena por el peso y la confianza (justificada o no) que dan las grandes empresas de auditoría. Imagínese que, pese al trabajo serio de generación de un modelo, se comete un delito a través de la empresa. La afirmación de que “no contaba con revisión externa” porque era al mismo tiempo auditor (o consultor de diseño) implica básicamente afirmar que un juez debe, de entrada, condenar a la empresa en ese caso. Y ello, por incorporación de una exigencia incierta. La tercera razón es la central. La extensión de la interpretación respecto a que “revisor externo independiente” no debe haber participado en nada en el diseño o implementación del modelo deriva de un sesgo de lectura. Ella se basa en la idea, en el fondo, de que la ley ahora exige de forma obligatoria la vieja certificación de adecuación del modelo. No es casual que los actores del mercado crean que debe incorporarse la regla que establecía la NCG 302.

El objeto de la revisión externa sería la revisión del cumplimiento de las exigencias legales, pero la ley no dice nada de esto. Leer la regla de este modo lleva a incurrir en el mismo problema que tenía la regulación anterior: promete mucho más de lo que puede cumplir. Ella se basa en la idea de que proveedores de servicios en el mercado podrán, con efecto autoritativo, dictaminar que un modelo es adecuado. En los hechos, esa promesa tiende a ser institucionalmente defraudatoria en el mundo penal. Cuando se cometen delitos en la empresa, el peso del dictamen externo tiende a ser limitado. Precisamente por los riesgos y rigideces que impone toda lectura muy ambiciosa de la regulación de la Ley 20.393, lo más adecuado es desprenderse del sesgo de lectura de la certificación. Siguiendo la práctica comparada, lo que más bien se requiere de la práctica penal es deferencia con las empresas. Todo lo que debiera exigirse de ellas es que realicen un trabajo serio y más o menos formalizado de análisis de sus riesgos, de desarrollo de sistemas de gestión para contar con controles, y que cuenten con medidas periódicas que hagan más probable que se mantenga en funcionamiento real ese sistema de gestión.

La obligación de las empresas es una funcional de medios, no la participación en un ámbito estrictamente regulado. La definición de su mecánica de funcionamiento es un problema de autorregulación individual que puede ser complementada por mejores prácticas de industria local. Un fiscal debiera ser deferente en la medida en que perciba que la empresa cumple con esa exigencia de autorregulación y que contrata servicios periódicos externos que le ayuden en esa labor. Por supuesto, las empresas pueden, como parte de sus políticas de mejora continua, contratar revisiones externas que busquen peer reviews independientes de adecuación de modelos. Esto es común en muchas industrias y puede ser una excelente herramienta de desarrollo. Por definición, si lo que buscan es juzgar el trabajo que desarrollaron con alguien más, va en su interés contratar a otro consultor o auditor. Pueden también definir como estrategia más adecuada en la mejora de un año determinado contar con auditorías de procesos y riesgos y un trabajo conjunto en la mejora del modelo. Teniendo en cuenta la enorme heterogeneidad del mercado regulado por la Ley 20.393, toda otra rigidez en la evaluación de modelos impone cargas y riesgos excesivos y debe ser radicalmente rechazada como cuestión jurídica.

Publicado en El Mercurio Legal