Helas Consultores considera clave la fase de análisis y evaluación de riesgos en un plan de compliance
Tras la introducción de la responsabilidad penal de las personas jurídicas, en la última reforma del Código Penal, todas las empresas de cualquier actividad y tamaño deben que desarrollar estrategias y proyectos de cumplimiento normativo o compliance para protegerse de la posible responsabilidad penal, así como para minimizar el consiguiente riesgo reputacional y económico al que se podrían enfrentar.
Las empresas están asumiendo las consecuencias que pueden llegar a tener por los delitos cometidos por actividades de sus directivos y empleados. Está siendo un proceso lento quizás por el desconocimiento de las posibles y graves implicaciones que pueden tener en caso de un procedimiento penal.
Las organizaciones que sí han tomado conciencia de la posible responsabilidad penal de la persona jurídica están desarrollando planes de Compliance con distintas metodologías y enfoques.
Nos vamos a centrar en una de las primeras etapas de estos planes como es el análisis y evaluación de riesgos en la organización, tarea muy importante en el diseño y la arquitectura de un modelo de Compliance en las empresas.
Una práctica muy habitual que se está extendiendo en las empresas es centrar el análisis únicamente en los aspectos legales. A saber, se identifican las actividades que realizan los empleados o directivos, los posibles delitos en los que pueden incurrir y las consecuencias que conllevarían, sanción o pena. Este enfoque muy jurista no tiene en cuenta la probabilidad de que ese riesgo se materialice, el impacto que dicho riesgo supone para la organización o los controles ya existentes e implantados en la organización.
El objetivo principal de esta etapa clave para un adecuado modelo de Compliance es identificar, analizar y evaluar los riesgos en la organización, determinando los procesos de negocio afectados y las actividades o áreas más vulnerables dentro de la organización.
El método a aplicar debe estar basado en el análisis de los factores más probables y graves, de acuerdo a una serie de fuentes, como son; los riesgos identificados, los antecedentes y casos relevantes habidos en la organización, la normativa o legislación de aplicación, etc. Adicionalmente, se tienen en cuenta, una serie de criterios que tratan de objetivizar el proceso de análisis. Entre otros; la complejidad de la estructura de la organización, las líneas de negocio afectadas por el posible riesgo, el alcance territorial, la propia cultura institucional de la organización, el número de empleados implicados en el posible riesgo, la existencia de procedimientos que rebajan el riesgo, o la periodicidad y eficacia de los controles establecidos.
Fruto de entrevistas personales con responsables y empleados de la empresa y el análisis de la información y documentación disponible, se podrá elaborar un mapa de riesgos, el cual facilita la obtención de una visión global de los riesgos penales que aplican a la organización.
Tras la identificación de los riesgos y amenazas, se realizará el análisis detallado de los mismos. Para ello se tienen en cuenta, como parámetros de análisis, la probabilidad y el impacto. La probabilidad, que expresa la posibilidad real de que la amenaza se materialice, y el impacto, en función del efecto que pueda producir en la empresa en caso de que se produzca el posible delito. En la valoración del impacto se pueden tener en cuenta distintos factores como la pena asociada al delito, la estimación de posible pérdida de clientes, la pérdida reputacional o la cuantificación económica.
De la valoración de todos estos parámetros y teniendo en cuenta los procedimientos y controles ya implantados en la organización, se obtendrá el nivel de riesgo residual de cada tipo penal. Se definen entonces distintos grados de aceptación o tolerancia del riesgo en el seno de la empresa, es decir los niveles de riesgo asumibles por la organización y aquellos que resultan inasumibles o intolerables.
En este punto, un aspecto muy valorado en las empresas es visualizar la situación actual de cada uno de los riesgos existentes y establecer un escenario objetivo de dicho riesgo en la empresa, lo que puede considerarse el primer paso del proceso de mejora continua del modelo de Compliance.
Así, el mapa de riesgos debe ser revisado periódicamente. Debe estar vivo. Esto responde sencillamente a que la empresa no es un ente inamovible sino que cambia constantemente con sucesivas adaptaciones a las vicisitudes del mercado y del entorno en el que opera. Compras, adquisiciones, fusiones, joint ventures, procesos de expansión internacional, son evoluciones diversas que pueden desarrollar las organizaciones. Debemos, en todo momento, tenerlas en cuenta y evaluar su impacto en el Compliance.
Una tentación en la que caen algunas empresas es reutilizar los análisis de riesgos de otra empresa. El “cortar y pegar” que muchos están haciendo o el copiar el mapa de riesgos y el plan de cumplimiento de otra empresa, por el mero hecho de operar en el mismo sector de actividad es un craso error. Cada empresa es diferente, ya que tiene unos riesgos distintos según sus actividades, opera en unos mercados específicos, y tiene su propio modelo de negocio que en ningún caso es aplicable a otras empresas. Por ello, cada organización debe tener su propio mapa de riesgos, debiendo alinearse con su actividad, objetivos y estrategia, y siendo éste único e irrepetible. El problema de no profundizar y no realizar un trabajo adaptado, afectará a una posible estrategia de defensa en caso de enfrentarse a un procedimiento penal.
Como podemos observar, estos aspectos tienen una gran importancia para el correcto funcionamiento y aplicación del Compliance en las empresas. Tener este tipo de cuestiones atendidas es muy importante para evitar problemas legales para la compañía en un futuro. Para ello, contar con los mejores asesores, que aporten conocimiento en esta materia, es fundamental para estar actualizados en todo momento. El apoyo externo ha de integrar diferentes perfiles, no solo de abogados sino de consultores y auditores.
Ha llegado el momento de no correr riesgos por no implementar programas de cumplimiento. Antes de la reforma del Código Penal podía tener alguna justificación no haber implantado un programa de cumplimiento, pero desde julio de 2015 es una temeridad no disponerlo. Si se tiene la intención y el convencimiento, hay que hacerlo bien, desde el inicio y siempre enfocado a tu negocio. La norma establece que se prevean los delitos concretos que pudieran ser aplicables a la empresa, no de forma general, porque para eso ya está el Código Penal. Hay que adaptar el modelo de Compliance a las actividades y realidades de cada empresa, y si no se hace así, el programa no será efectivo.
Sólo un plan de cumplimiento normativo realista y hecho a medida, implementado con transparencia y conocimiento de toda la organización y en constante revisión, podrá constituir un auténtico pilar de la estrategia de Compliance en las organizaciones, y que en última instancia sirva para instaurar una verdadera cultura de cumplimiento en la empresa que prevenga, evite y detecte el foco de posible delito.