como hacer un análisis de riesgos compliance penal UNE 19601
Jesús Sánchez Migallón
Jesús Sánchez Migallón

Abogado

Como hacer un Análisis de riesgos compliance penal

ESTE REQUISITO COMPLIANCE PENAL SE ENCUENTRA EN EN EL ARTÍCULO 31 BIS 5 NUMERAL 1 Y EN LA NORMAL ISO 19601 EN EL PUNTO 6.2 QUE HABLA DE LA IDENTIFICACIÓN Y ANÁLISIS DE LOS RIESGOS

En este artículo veremos cómo hacer  paso a paso un análisis de riesgos a la hora de implementar un programa de compliance penal o cumplimiento normativo

El segundo paso para realizar o implantar un sistema de compliance penal o un programa de cumplimiento normativo, es hacer una evaluación de riesgos penales. Recordemos que lo primero de todo es hacer un inventario de las normas y leyes que afectan a la empresa para saber el punto de partida, a brocha gorda que los posibles riesgos a los que la empresa puede atenerse;

La base de todo programa, es sin duda el análisis de riesgos compliance penal; y si este paso lo hacemos mal, lo demás no nos valdrá de nada; porque si no detectamos los posibles riesgos de cometer delitos de nuestra empresa, lo que viene después, los protocolos de actuación para prevenir esos delitos, van a ser de delitos equivocados o dejaremos de realizar protocolos para delitos que no hemos identificado en nuestros riesgos.

Como consultor de protección de datos y con los años de compliance penal, el primer consejo que os puedo decir, es que si la empresa no está concienciada y no está implicada, debemos de superar primero este paso. Es casi capital antes de meternos a realizar un análisis de riesgos que la empresa esté implicada. Un consultor de compliance penal tiene que conocer la empresa, tiene que conocer el sector de la empresa que vamos a adaptar; tiene que conocer los riesgos, y la única manera de conocer esto, es implicando a la empresa; ¿ cómo puedo yo conocer que en tal sentido la empresa fue condenada en el año 2010, por fraude fiscal? Y que por tanto puede tener riesgo de cometerlo ¿me lo va a contar un trabajador de la empresa que no tiene ni ida? No; debemos de involucrar a toda la empresa desde los trabajadores hasta los gerentes y socios. Se trata de destripar a la empresa en todos los sentidos y sacar todos los trapos sucios. Debemos saber si los socios, gerentes, o algún trabajador tiene problemas económicos; porque de esta forma sabremos en un futuro esa persona puede robar a la empresa o desviar fondos.

El programa de evaluación de riesgos debe de centrarse sólo en los posibles delitos que puede cometer la empresa; muchas de ellas no tendrán riesgos en el delito de trata de seres humanos pero otras empresas por ejemplo sí que pueden tener este riesgo. En este sentido más adelante escribiré un artículo especifico sobre qué podemos realizar un análisis de riesgos. En ese artículo tan sólo vamos a analizar los riesgos penales ( y sólo los que la empresa pueda tener un beneficio directo o indirecto) Pero podemos realizar análisis sobres riesgos legales, o incluso sobre delitos que la empresa aunque no vaya a obtener un beneficio directo o indirecto queramos tenerlo en cuenta; por ejemplo, en empresas donde se trabajar con niños, puede ser que exista un riesgo que monitores puedan abusar de niños; en este sentido la empresa no obtendría ningún beneficio directo o indirecto, pero si pasa en nuestra empresa este delito, el daño a la imagen es grandísisimo y por tanto forme parte de nuestro análisis de riesgo. 

La gestión de riesgos en la empresa tiene 3 Fases

A) LA PRIMERA FASE ES LA IDENTIFICACIÓN DE LOS RIESGOS

Antes de comenzar a realizar el análisis de riesgos debemos de ser conscientes de que el sistema que sigamos para analizar los riesgos debe de ser simple; he visto como muchos consultores, o compliance officer,  se hacen unos líos mentales bastantes importantes y al final eso no vale para nada, porque hay empresas que son más pequeñas, o porque directamente la dirección no entiende nada y se termina por no utilizar; Deberemos de seguir la máxima de la sencillez a la hora de realizar nuestro sistema de análisis de riesgo, y luego más adelante mejorarlo poco a poco.

Una vez sabido esto debemos de identificar los riesgos penales que la empresa puede estar expuesta y no hay otra manera que analizar la empresa en profundidad, tenemos que empezar por analizar la empresa de una forma genérica:

PRIMERO: Analizaremos el contexto de la empresa en su conjunto; Cual es el objeto social de la misma ( podemos verlo en las escrituras de la empresa), las actividades que hacen, los productos que venden, y cuáles son los canales de distribución de los mismos, incluso las zonas geográficas puede ser un buen indicador ( si la empresa actúa en zonas donde hay grupos criminales puede ser que  tenga un riesgo de cometer determinados delitos si los grupos criminales les piden financiación)

SEGUNDO: Debemos de seguir analizando quienes son los socios, los proveedores, clientes, etc… por si podemos detectar algún riesgo. Analizaremos si la empresa tiene contratos con Administraciones públicas ( para comprobar y analizar que no podamos cometer un delito de tráfico de influencias por ejemplo, o en general contra la Administración pública)

Concretamente suelo poner mucho énfasis en los procesos operativos; Por ejemplo si alguien está encargado de la compra de un material a un proveedor, como se hace todo ese proceso. Desde que se pide hasta que entra en la empresa; Imaginemos que nuestro empleado de compras necesita dinero para su familia y pide comisiones para comprar con ese proveedor. En este sentido me gusta analizar todos los procesos de la empresa, compra, ventas, marketing, cajas, departamento financiero etc.. Es muy importante a la hora de realizar la identificación de riesgos penales el que tengamos delante un organigrama de la empresa y podamos ir departamento por departamento.

TERCERO: Igualmente conviene hacer un inventario de personal apoderado, y de quien toma las decisiones, y como se hace de forma detallada. Número de empleados de la empresa (cuantos más empleados en la empresa, más probabilidad de poder cometer un delito.

CUARTO: Detectar si la empresa presta servicios de con algún impacto medioambiental, o maneja explosivos, sustancias inflamables o corrosivas,;En general analizar si la empresa tiene alguna actividad de riesgo.

Ya hemos hablado de destripar a la empresa en todos sus sentidos; en el análisis de riesgos podemos ver un ejemplo de ello: imaginemos un hospital; un hospital que necesita muchas medicinas, mucho material quirófano, medicamento etc.. hay siempre alguien que está encargado de decir que se ha agotado tal medicamento, quizás haya otro que sea quien lo encargue, y más tarde llega a un proveedor, o varios proveedores que encargan este productos que se agotado. Entre medias estoy seguro que alguien se encarga de pedir varios presupuesto al mejor postor. Todos estos procesos hay que conocerlos y analizarlos, porque de este destripamiento, es donde se ven los posibles riesgos;

QUINTO: Una de las partes fundamentales de la evaluación de riesgos es saber que tenemos que tener en cuenta los factores externos de la empresa. Si la empresa por ejemplo opera en países que tienen un alto grado de corrupción, nos dará una pista de posibles delitos que la empresa puede cometer; también como factor externo podemos tener que la empresa esté en un sector en el que el perfil del sector sea un factor de riesgo bastante alto; por ejemplo empresas de transporte que viajan a otros países. También debemos de analizar la situación económica de la empresa : Otro aspecto a valorar de cara a determinar la probabilidad de comisión de un delito del que la empresa pueda resultar penalmente responsable es la situación económica en la que se encuentre, entendiéndose que cuando una entidad atraviesa dificultades económicas puede existir un mayor grado de probabilidad de comisión de delitos a partir de la realización de acciones de las que la empresa pueda obtener un beneficio económico o ventajas frente a sus competidores. Por ejemplo, en estas circunstancias podría incurrirse en delitos que pudieran afectar a competidores (daños informáticos, propiedad industrial, etc.) o delitos relacionados con el órgano regulador (cohecho o tráfico de influencias) para tratar de posicionarse nuevamente en el mercado.

En un primer momento aconsejo hacer  lo que yo llamo una evaluación de riesgos a brocha gorda, mas adelante facilitaré una serie de preguntas para realizar a la empresa sobre los delitos que en esta primera aproximación que hemos hechos, podamos despejar dudas: Es decir de este primer estudio general de la empresa, ya podemos ir apuntando los primeros síntomas de los riesgos que puede tener la empresa. En una segunda fase debemos de hacer unas preguntas mas especificas sobre los delitos que creemos que pueden tener un riesgo en al empresa; Veremos que siguiendo esta secuencia  más probable que de los 8 delitos que te han saludo, se queden en 5. Puede servirte de ayuda en esta fase de identificación de los riesgos el inventario de delitos que la empresa puede cometer.  Recordarte que más adelante, te dejaré una plantilla excell, para que una vez identificado estos riesgos, puedan evaluarlos; En este sentido, es necesario descender un poco más en la identificación de riesgos penales ya que en el anterior inventario de delitos, sólo está el nombre o el título de los delitos que pueden cometer la empresa; si sólo realizamos el análisis de riesgos sobre el titulo del delito, no estaría mal, pero está claro que es mejor descender un poco en las diferentes formas de cometer esos delitos para que refleje la realidad de la empresa; y pongo un ejemplo: Puede ser que en nuestra empresa nos aplique el delito contra la salud pública porque tratamos alimentos y puede ser que exista un riesgo en el sentido de dar alimentos caducados o en mal estado, ( la empresa obtendría un beneficio a la hora de ahorrarse una compra de alimentos en buen estado) tenemos claro que el delito contra la salud pública lo tenemos identificado, pero está claro que dentro del delito contra la salud pública tenemos el delito de tráfico de droga, y por tanto aunque nos aplique el delito contra la salud pública, no nos aplica el delito de tráfico de drogas.

Hay que tener muy presente que la única manera de sacar riesgos penales a una empresa es preguntando, preguntando y destripando la empresa, esto se hará mediante un cuestionario que cada consultora, o cada despacho de abogados vaya realizando a través de sus experiencia, estudio, y sobre todo comprensión y otra vez estudio de las normas que les afecta a la empresa; Cuanto mejor sea este cuestionario de preguntas, mejor nos saldrá el análisis de riesgo penal; Las preguntas pueden ir enfocadas en general a la actividad de la empresa, relacionados con los productos o servicio que prestan, o en cambio pueden ir enfocados a cada delito en particular, por ejemplo delitos relacionados con las insolvencias punibles, etc…

Con el tiempo yo he ido haciéndome mi propio formulario de preguntas par poder realizar en mis consultorías, también llamado checklist. 

Pues bien, una vez realizado este análisis general de la empresa tendremos lo que se llama la IDENTIFICACIÓN DE LOS RIESGOS, y el análisis especial mediante el checklist, tendremos un inventario de posibles delitos que la empresa puede cometer. Tenemos lo que podemos denominar una brocha gorda de posibles delitos. Ahora tenemos que analizar estos riesgos que hemos identificado;

Como propuesta de valor, podemos hacer una identificación de riesgos que diferencie los riesgos penales con beneficio para la empresa y riesgos penales sin beneficio. Como sabemos los riesgos penales con beneficio son los únicos por los que responde la empresa penalmente, pero no podemos olvidar que el riesgo sigue existiendo en aquellos delitos que aunque no haya un beneficio directo e indirecto puede causar muchos problemas.

Identificación de riesgos legales

Me gustaría hacer una reflexión que nos podemos encontrar a la hora de realizar.  Es en el momento en el que nos ponemos a preguntar si el delito concreto que estamos analizando existiría un beneficio directo o indirecto para la empresa y pongo un ejemplo: En el supuesto del delito de abusos a menores; es cierto que para empresas que trabajan con menores de edad, ( hoteles, clubs de fútbol, guarderías, colegios etc..)  el riesgo de que se pueda cometer este delito existe, y por tanto debe de pasar a formar parte de nuestro análisis de riesgo, pero cuando le metes la variable de si pudiera existir beneficio directo o indirecto para la empresa directamente la respuesta es NO. En todo caso existiría un perjuicio, un daño reputacional.

Nuestro código penal:

Artículo 31 bis

«En los supuestos previstos en este Código, las personas jurídicas serán penalmente responsables:

  • a) De los delitos cometidos en nombre o por cuenta de las mismas, y en su beneficio directo o indirecto, por sus representantes legales o por aquellos que actuando individualmente o como integrantes de un órgano de la persona jurídica, están autorizados para tomar decisiones en nombre de la persona jurídica u ostentan facultades de organización y control dentro de la misma.
  • b) De los delitos cometidos, en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas, por quienes, estando sometidos a la autoridad de las personas físicas mencionadas en el párrafo anterior…..»

¿Cómo podemos llegar a solucionar esta situación?

Porque si que es cierto, que mientras no haya beneficio directo o indirecto la empresa no sería responsable penalmente. Pero no es menos cierto, que el daño reputacional y de imagen que puede sufrir la empresa en muchas ocasiones, supera con creces la pena que pudiera imponerle. Hay muchas empresas que la multa les da exactamente igual y lo que no quieren es sufrir un daño su imagen.

Lo que recomiendo es lo siguiente:

En aquellos casos en los que el delito en cuestión, no vaya a suponer un beneficio directo o indirecto para la empresa, pero la entidad pudiera  ver dañada su imagen, abriría una parcela en nuestro análisis de riesgos para diferenciar tipos penales en los que hay un beneficio directo o indirecto y otra en los que no. De tal forma que si el Juez un día nos pide nuestro análisis de riesgos poder defender que se hizo un «poco mas» de lo que nos pidió el C.P, pero que en el caso de determinados delitos no estabámos obligados a implantar al 100% medidas de control sino que fue simplemente para asegurar la imagen de la empresa. Son cuestiones que debemos de fijar en el momento de inicio del sistema de gestión de riesgos penales, concretamente cuando pactemos el alcance del proyecto. 

B) LA SEGUNDA FASE ES HACER UN ANÁLISIS DE LOS RIESGOS

De los posibles delitos que hipotéticamente la empresa puede ser que cometa, debemos de analizar,  preguntarnos la probabilidad que esa empresa cometa ese tipo de delito, y en el caso de que esa probabilidad se de, el impacto que tendría en nuestra empresa;

  • La probabilidad de que ese delito pueda ocurrir en nuestra empresa puede calcularse en base a: el número de empleados que tiene la entidad y los controles que tienen puestos para que ese delito no se cometa o incluso valorando si ese delito ha sido cometido en la empresa con anterioridad.

Si tienes dudas sobre si es de aplicación el Código Penal Español, lo que haría descartar totalmente ese delito de nuestro análisis de riesgos pincha en este artículo

Por ejemplo delito contra los derechos de los trabajadores. Por ejemplo tener a los trabajadores, trabajando en una situación con mucho peligro. El riesgo lo vamos a valorar de 1 a 5. Si en la empresa hay 100 trabajadores yo creo que la probabilidad es muy alta, le doy un valor de 5. Y además me dicen en la empresa que no cumplen con la Prevención de riesgos laborales, pues le doy otro 5. Por tanto la media de 5 y 5 es 5, la probabilidad de que cometan ese delito es 5, o lo que es lo mismo, muy alta.En cambio si la empresa me dijera que tiene implantada la Ley de prevención de Riesgos Laborales, le daría en ese aspecto del 1 al 5, un 2, dependiendo de como tengan implantado esta prevención.

  • En cambio el impacto podemos manejar valores como la Imagen, es decir, el daño reputacional que nos hace a la empresa en caso de que en la empresa ese delito ocurra. Los riesgos operacionales como que nos cierren la empresa, Las posibles sanciones que podemos obtener si se comete el delito; Igualmente podemos valorarlo del 1 al 5; La media de la probabilidad y del impacto nos da el resultado final; Resultado que previamente teníamos que haber definido que todo lo que sea superior a 3 o a 4, vamos a considerarlo como un riesgo, y por tanto vamos a implantar controles para prevenir ese delito.

Me preguntaréis que algo os habéis perdido en el ejemplo a la hora de darle un valor de 1 a 5; Esto será objeto de un post diferente, y no es otra cosa que una vez hecho la identificación de riesgos, hay que hacer una METODOLOGÍA DE RIESGOS ( es decir, el plan que vamos a seguir para valorar esos riesgos que hemos hecho) aquí basta decir que tenemos que ante el delito de los derechos de los trabajadores, decidir la probabilidad de que ocurra y valorarlo, y eso lo podemos hacer del 1 al 5, o poner bajo, medio o alto, etc… al igual que el impacto. decidir como vamos a valorar, si del 1 al 5, o bajo, medio o alto, y que significa darle un valor de 1, 2,3,4,5, o que significa medio , a eso se llama establecer una metodología de riesgos.

De tal manera que tenemos que sacar una media entre los puntos dados a la probabilidad y a los puntos dados al impacto de cada uno de los delitos que hemos identificado. De esta forma sabremos que si la media es alta en un delito, quiero decir, que si la combinación es alta de un delito entre la probabilidad y el Impacto, tendremos que implantar controles.

De tal manera que iremos haciendo nuestra tablita de delitos y posibles riesgos, o también llamado mapa de riesgos.

Os dejo un excell donde se puede trabajar nuestro análisis de riesgos. Como podéis ver, ya hace la media de la probabilidad y el impacto. En el excell que os facilito, sólo he tomado como referencia una única probabilidad y un único impacto.

Número de personas Controles PROBABILIDAD Imagen Operacionales Sanciones IMPACTO RESULTADO FINAL
Delito contra los derechos de los trabajadores 5 5 5 5 3 2 3 4

POR ULTIMO Y TERCERA FASE LA EVALUACIÓN DEL  RIESGO.

Una vez identificado los riesgos, y analizados los mismos, imaginemos que nos salen 4 o 5 delitos con una media de 4 o 5, debemos decidir si esos riesgos:

  • Van a ser asumidos por la empresa
  • si se puede eliminar de un plumazo
  • si es trasladable o requiere de la realización de alguna acción para su gestión

Una vez detectados los riesgos que la empresa puede cometer, tenemos que pasar al siguiente paso que es poner procedimientos para que no sucedan.

Si quiere leer el primer paso para la realización en su empresa de un programa de compliance penal, Hacer un inventario de Leyes que aplican a nuestra empresa pinche aqui.

Scroll al inicio