La necesidad de un análisis de riesgos penales válido en las organizaciones

Por César Alonso – Director de Proyectos de Audisec
¿Por qué?

El Código Penal establece la responsabilidad penal de las personas jurídicas y la necesidad de implantar un sistema de cumplimiento o de prevención de delitos.

En el punto 4 del artículo 31 bis indica: “la persona jurídica quedará exenta de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma significativa el riesgo de su comisión.”

Por otro lado la circular 1-2016 de la Fiscalía General del Estado (FGE) indica “La persona jurídica deberá establecer, aplicar y mantener procedimientos eficaces de gestión del riesgo que permitan identificar, gestionar, controlar y comunicar los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo específico establecidos.”

Uno de los pilares de la implantación de un sistema de cumplimiento penal, o de prevención de delitos penales en las compañías es la realización de un análisis de riesgos.

¿Para qué?

A partir de estas premisas debemos realizar un análisis de riesgos penales en nuestra organización con el objetivo de conocer los delitos para los que la organización esté más desprotegida.

El resultado del análisis nos debe indicar aquellos delitos para los que la compañía necesita mejorar sus controles de forma que se impida, detecte o se prevenga la comisión del delito.

Por lo tanto, los riesgos que resulten con niveles altos deben corresponder con las situaciones prioritarias a considerar y los riesgos que resulten con niveles bajos serán situaciones controladas que normalmente podrán ser aceptadas por la compañía sin implantar controles adicionales.

Consecuentemente, el análisis de riesgos que realicemos debe considerar los delitos aplicables a la organización y los controles ya existentes en la empresa.

¿Cómo?

Partiremos de los 31 delitos que según el Código Penal y la matización de la circular de la FGE consideran a la persona jurídica como susceptible de ser imputada con responsabilidad penal.

Para analizar en detalle cada uno de los delitos, se pueden utilizar diferentes tipos de comisión indicados en el Código Penal o directamente las situaciones que cada compañía considere cuyo resultado sea la comisión de un delito.

Un segundo aspecto previo a la realización del análisis es la definición de la metodología a seguir.

La metodología es la forma en la que obtendremos el valor del nivel del riesgo para cada delito. Puede ser una fórmula matemática a partir de varias variables o el resultado de la evaluación de diferentes aspectos de cada delito. Lo que sí debe cumplirse es que utilicemos exactamente la misma metodología para analizar todos los delitos.

Esta premisa hará que podamos comparar los resultados de cada uno y poder conocer así qué delitos nos deben preocupar más por tener los niveles de riesgo más elevados.

Si mantenemos la metodología en el tiempo podremos también comparar el resultado de sucesivos  análisis y poder así medir nuestro progreso o evolución en revisiones sucesivas del modelo de cumplimiento y prevención.

Cómo recomendación principal a la hora de valorar, proponemos hacer el ejercicio de ponerse en la situación de un trabajador de la empresa que quiera cometer el delito. No entraremos en la motivación que tenga pero sí intentaremos ponernos en su posición. ¿Cómo de fácil, difícil o imposible tiene la comisión del delito, él sólo? Si los controles existentes le imposibilitan o le dificultan enormemente su comisión, nuestro riesgo debe ser bajo. En caso de que detectemos la posibilidad de que una sola persona pueda cometer el delito entonces el riesgo debe ser alto.

La dificultad de este análisis está en establecer un criterio y metodología de cálculo del riesgo que sea válido para todas las situaciones. Esto es imprescindible ya que posteriormente querremos comparar los resultados entre sí para identificar las situaciones que más nos deben preocupar. Si no hemos evaluado los riesgos de la misma forma esta comparación no será válida y nuestro análisis no será útil.

¿Y después qué hacemos?

Una vez terminado el ejercicio de análisis, con los resultados sobre la mesa, debemos identificar las situaciones de mayor riesgo con el objetivo de mejorar esta situación bajando el nivel de riesgo.

Se recomienda fijarse un nivel de riesgo aceptable en la compañía, aprobado por Dirección, que marque los riesgos a mitigar y los que se deben aceptar.

Como hemos argumentado, bajar el riesgo supondrá principalmente implantar nuevos controles en la organización para que nuestro potencial delincuente tenga muy difícil o imposible llevar a cabo su propósito.

Se debe establecer un plan de acción que considere de forma individual los delitos concretos para los que la empresa debe mejorar su protección.

Este plan de acción, tendrá acciones que afecten a toda la compañía, como por ejemplo el establecimiento de un código de conducta, y en otros casos propondrá acciones que afecten a una determinada actividad, como por ejemplo la implantación de firma mancomunada para realizar operaciones bancarias.

Resultado final

La dirección de la compañía debe conocer el resultado del análisis de riesgos para saber la situación obtenida.

Debe decidir sobre los riesgos a tratar y los que acepta.

Debe aprobar el plan de acción para dotarle de los recursos necesarios.

Por último, debe conocer el riesgo residual que subsiste tras evaluar de nuevo la situación una vez terminado de implantar el plan de acción.