En este artículo, el Fellow del Semillero y abogado de Soler & Mejia nos habla sobre los posibles riesgos penales pueden existir en las operaciones de M&A. Castañeda nos menciona como la debida diligencia penal resulta relevante para mitigar el riesgo de lavado de activos y financiación del terrorismo que se puede presentar en el marco de las fusiones y adquisiciones, y como un correcto due diligence pude evitar el riesgo de contagio. El artículo finaliza con algunas recomendaciones de Compliance, que deben tenerse en cuenta a la hora gestionar los riesgos de una operación de M&A.

Las Fusiones y Adquisiciones no son un escenario libre de riesgos penales. Los lavadores de activos han encontrado en el sector real un escenario flexible para integrar dineros ilícitos a la economía[1], especialmente, a través de complejas estructuras corporativas que les sirven de vehículo para poder disfrutar de los rendimientos del delito.

Particularmente, el riesgo penal asociado al lavado de activos y la financiación del terrorismo (Riesgo LA/FT), es un riesgo que puede llegar a camuflarse en operaciones complejas, de altas sumas de dinero y en donde existe alto flujo de información, como los son las operaciones de fusiones y adquisiciones.

De esta manera, previo a la adquisición o absorción de una compañía, la empresa adquirente debe conocer el entorno de riesgos de sociedad target, pues no hacerlo, puede exponerla a lo que se denomina riesgo de contagio, que no es otra cosa que terminar involucrada en una situación penal por adquirir o absorber una compañía que tiene vínculos directos o indirectos con situaciones LA/FT. 

Por ejemplo, una sociedad adquirente, podría llegar a comprar la participación mayoritaria de una compañía cuyos administradores están involucrados en investigaciones penales por actos de corrupción. También podría llegar a absorber una compañía, cuyos socios tienen antecedentes por condenas penales relacionadas con delitos LAFT. O incluso, en casos complejos, podría llegar a adquirir una compañía que tiene muchos proveedores investigados en el extranjero por delitos LAFT.

En efecto, el Due diligence penal también conocido como due diligence pre-adquiscition, debe ser un factor determinante en la etapa precontractual,  y debe extenderse no sólo a conocer el contexto de la sociedad target, sino en saber quienes son sus administradores, socios, aliados, proveedores, clientes, pues éstos también pueden tener alguna relación con asuntos LAFT.

Por otro lado, el contexto de riesgo de la Sociedad Target también involucra los riesgos asociados a los productos, territorios donde opera la compañía, incluso la verificación de los litigios penales donde la sociedad target es parte, por lo que cuando se habla de due diligence penal se hace referencia al análisis y previsión de todos factores que puedan implicar un riesgo penal para la compañía adquirente.

Dicho lo anterior, para hacerle frente al riesgo de contagio, desde el año 2016,  Colombia ha incentivado con mayor contundencia la adopción por parte de las compañías  del sector real de Sistemas de Compliance penal[2], para evitar que una compañía pueda resultar contagiada por riesgos LAFT en cualquier operación comercial.

Actualmente, se entiende que el riesgo LAFT debe ser autogestionado por la misma empresa, toda vez que es ella la que conoce sus riesgos y la que puede darle una contención primaria a cualquier situación LAFT originada por factores internos o externos de la Compañía. Bajo esta línea, la tendencia es que la gestión de riesgos penales sea un tema de autogestión de la compañía, pero dicha autogestión está regulada y vigilada por las autoridades de inspección, vigilancia y control, que son las que fijan los parámetros mínimos que debe tener en cuenta la autogestión. Lo anterior se conoce como el principio de autorregulación regulada, de suma importancia en materia de Compliance.

Bajo lo precisado anteriormente, para el sector real, la autorregulación regulada y el due diligence penal, adquirieron relevancia en la reciente Circular 100-000016 de 2020 expedida por la Superintendencia de Sociedades. Esta circular obliga a las sociedades vigiladas a la adopción de un sistema de gestión de riesgos penales denominado SAGRILAFT (“Sistema de Administración y Gestión de Riesgos de Lavado de Activos y Financiación del Terrorismo) el cual debe permitirle a la empresa prevenir, controlar y mitigar los riesgos LAFT, bajo un esquema de autorregulación regulada.

Para claridad práctica, este sistema en líneas generales está conformado por los siguientes elementos: (i) Una matriz de riesgos, donde la compañía identifica, diagnostica, evalúa y califica los riesgos penales a los que está expuesta. (ii) Un Manual donde se regulan las responsabilidades de los órganos sociales para gestionar el riesgo, y se definen procedimientos y políticas tendientes a prevenir, controlar y mitigar el riesgo LAFT. Dentro de estos, se encuentra el procedimiento de debida diligencia a contrapartes, conocido también como KYC (“Know Your Client”), (iii) El sistema debe tener un oficial de cumplimiento designado por la compañía cuya función, entre otras, es gestionar y administrar de forma independente el SAGRILAFT, vigilar el cumplimiento de los procedimientos y funciones, y reportar a la UIAF cualquier operación sospechosa que se presente en el contexto de la compañía.  

En la práctica uno de los elementos más importantes del SAGRILAFT es el procedimiento de debida diligencia a contrapartes (KYC), que debe permitirle a la compañía: (i) Conocer a sus clientes, proveedores, empleados, socios, inversionistas, y cualquier otra contraparte, antes de establecer alguna relación comercial; (ii) Consultar a esas contrapartes en listas restrictivas como la OFAC, Interpol, Europol, Consejo de Seguridad, que detallan personas asociadas a situaciones LAFT; (iii) Identificar cualquier señal de alerta que genere sospechas de una posible situación LAFT.

Sumado a lo anterior, la Circular permite para las contrapartes de mayor riesgo, aplicar procedimientos de debida diligencia intensificada, para ir más allá de la simple consulta en listas restrictivas, e incluir otras medidas como las siguientes: (i) requerimientos información adicional (ii) Comprobación de documentos, (iii) Auditoría del SAGRILAFT de la contraparte, (iv) Reuniones y visitas, (v) Solicitud de certificaciones, información financiera, contable y contractual de la compañía, (vi) Solicitud de declaraciones juramentadas sobre el origen lícitos de los recursos (vi) Entre otras.

En síntesis, lo que busca el SAGRILAFT, es que la Compañía no tenga vínculos jurídicos con “contrapartes” que tengan alguna relación directa o indirecta con asuntos LAFT.

Así, como puede preverse, el Know Your Client o Debida diligencia a contrapartes, también debe efectuarse sobre las Sociedades Target, pues si bien estas son el objetivo comercial de las compañías adquirentes, desde una óptica penal, siempre tienen un riesgo inherente LAFT que debe ser evaluado y conocido dentro del proceso de Due Diligence.

Dicho lo anterior, y sólo con el ánimo de darle al lector algunas recomendaciones prácticas, se considera que un correcto proceso de due diligence pre-adquiscition aplicado por la Compañía adquirente a la Sociedad Target, debe tener en cuenta las siguientes medidas de gestión de riesgos:

1. La Sociedad Adquirente deberá aplicar debida diligencia a la Sociedad Target, así como a los administradores, socios y cargos directivos intermedios, verificando que no se encuentren en listas restrictivas nacionales e internacionales, como la OFAC, INTERPOL, EUROPOL, Policía Nacional, Procuraduría, entre otras.
2. La Sociedad Adquirente deberá remitir listado formal de preguntas a la sociedad target, para recopilar la información relevante que permita hacer una evaluación de riesgos penales. Se recomienda que esta información sea de aquella “confidencial” que se encuentra protegida en los NDA celebrados por las partes.
3. La Sociedad Adquirente debe verificar el sistema SAGRILAFT de la Sociedad Target, pues solo mediante su revisión, se puede identificar si existe o no un paper o fake Compliance, es decir un sistema de papel, que no cumple con los requisitos dispuestos en la Circular 100-000016 de 2020, y por consiguiente no tiene el nivel para gestionar los riesgos LAFT de la Compañía.
4. La Sociedad Adquirente deberá verificar el cumplimiento del procedimiento de debida diligencia a contrapartes que aplica la Sociedad Target. En caso de que ésta no realice debida diligencia a sus proveedores, clientes, socios y aliados, la Compañía adquirente podría llegar a adquirir o absorber riesgos penales LAFT.
5. La Sociedad Adquirente deberá solicitar la matriz de riesgos de la compañía target, pues es la matriz la que consolida la radiografía de riesgos a la que está expuesta la compañía, y por lo anterior permite un mayor entendimiento del nivel de riesgo penal que puede implicar cerrar la operación.
6. El oficial de cumplimiento de la Sociedad Adquirente debe tener un rol activo en el due diligence, para lo cual (i) debe estar al tanto de las negociaciones y sus riesgos (ii) Puede recomendar a la compañía adquirente crear espacios de reunión con el Oficial de Cumplimiento de la Sociedad Target, para conocer con más detalle que la capacidad de gestión del SAGRILAFT de la Sociedad Target. (iii) Debe identificar y advertir a la gerencia cualquier señal de alerta o situación irregular que considere que pueda ser sospechosa o inusual, en el marco de las negociaciones. 
7. La Sociedad Adquirente puede optar por requerir a la Sociedad Target información relevante como la siguiente: (i) Información sobre litigios penales donde sea parte o interviniente (ii) Información sobre reportes de operaciones sospechosas que se hayan presentado al interior de la compañía (iii) verificación de otras políticas de cumplimiento, como Programas de Ética Empresarial, Códigos de Ética y Buena Conducta, Reglamento de Trabajo, entre otras.
8. La Sociedad Adquirente podrá considerar llevar a cabo debida diligencia intensificada cuando lo considere pertinente para mitigar alguna situación de riesgo penal a la que se pueda ver expuesta.

Todas y cada una de estas medidas, resultan relevantes en la actualidad, toda vez que mediante de la Ley 2195 de 2022, se crea un sistema de responsabilidad administrativa, donde se podrán imponer sanciones a las compañías que hayan omitido o tolerado conductas LAFT.  En el marco de estos procesos, una compañía solo puede eximirse acreditando un buen sistema de Compliance, es esta su única defensa jurídica, por lo que cada vez más la academia debe dialogar sobre los temas de M&A desde la perspectiva penal, para que las grandes transacciones no sólo respondan a objetivos comerciales sino también a criterios de responsabilidad social corporativa.

[1] Montoya, M. (2008). El lavado de activos obstáculo para el desarrollo. Recuperado de http://www.seminariopublica.info/maindata/seminario/200824-183411/imagesdirs/ Mauoricio%20Montoya.pdf

[2] Asociación Española de Compliance. Libro Blanco Sobre la Función de Compliance. Madrid. Marzo de 2017. Véase en: https://www.asociacioncompliance.com/wp-content/uploads/2017/08/Libro-Blanco-Compliance-ASCOM.pdf