AD 148/2020
Descripción: Se trata de una primera introducción a los sistemas compliance y al desarrollo práctico de alguno de los elementos esenciales dentro del sistema de cumplimiento. El análisis de riesgos supone uno de los ejes vertebradores de los sistemas compliance basados en las normas estandarizadas e incluso de aquellos sistemas elaborados bajo las directrices del artículo 31 bis del Código Penal.
Palabras clave: compliance, análisis de riesgos, derecho penal, sistemas de gestión, evaluación del cumplimiento, impacto, probabilidad.
Introducción
Actualmente, son muchos los despachos profesionales o particulares que se postulan como expertos en materia de sistemas de cumplimiento y cada vez menos las personas que nunca han oído hablar de esta nueva rama jurídica del compliance. Pero ¿realmente son los abogados los profesionales idóneos para diseñar e implementar un completo sistema compliance en una organización? ¿sabe un abogado como estructurar o implementar protocolos de supervisión y control en los procesos de una empresa? La respuesta es que puede que sí y puede que no, o como diría un abogado: depende.
Antes de entrar más en profundidad, debemos de tener en cuenta que el Código Penal español establece unos requisitos mínimos dentro del marco legislativo, es decir, los elementos básicos que compondrían un sistema de cumplimiento. Esto perfectamente puede ser implementado por un abogado, pero estos requisitos que establece el Código Penal no dejan de ser algo superficial y anecdótico cuando hablamos de establecer medidas de supervisión y control del cumplimiento en una organización más o menos compleja. Esto quiere decir que, para elaborar un sistema completo y eficaz (importante cuestión), este deberá necesariamente complementarse de alguna manera y es en esta escena cuando aparecen los estándares ISO, las normas UNE y los primeros problemas.
A los ojos del intrépido e inocente letrado, cumplir con los estándares de este tipo de normas no debería ser más complejo que seguir las directrices marcadas y elaborar la suficiente cantidad de documentos que evidencien el cumplimiento de las mismas: pues bien, esta visión no puede estar más alejada de la realidad. Aquellos que se han familiarizado en los últimos años con la normativa para la protección de datos personales habrán comprobado que elaborar un completo sistema documental no es tarea fácil y siento informaros que aquí la cosa se complica aún más. ¿Y por qué se complica? Pues bien, porque estas normas estandarizadas están diseñadas para elaborar lo que se conoce como un sistema de gestión y nuestro caso: un sistema de gestión del cumplimiento.
Uno de los elementos centrales de los sistemas de gestión basados en las normas estandarizadas es precisamente el análisis de riesgos, que en los últimos años se encuentra más presente que nunca con la introducción de la normativa de protección de datos. La elaboración de un análisis riesgos nos permite determinar los escenarios de riesgo a los que se expone la organización, así como la probabilidad de que se produzca el riesgo y el impacto de este. La referencia en el Código Penal al análisis de riesgos se deduce del artículo 31 bis .2 párrafo primero cuando establece como condición para la exención de responsabilidad la adopción eficaz de “modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión”. Este tipo de modelos de organización se refieren de forma general a todo el sistema de cumplimiento, si bien, la identificación de las amenazas y la reducción de riesgos, así como las medidas de vigilancia y control suponen elementos encuadrables dentro del análisis de riesgos.
Estructura y elementos del análisis de riesgos
A la hora de elaborar el análisis de riesgos en la organización, debemos tener en cuenta que este tipo de elementos dentro de un sistema pueden llegar a resultar realmente complejos, aunque de la misma forma se pueden contemplar tan solo algunos elementos básicos que nos permitan determinar una situación de riesgo sin entrar en complicaciones lo frecuente es que elaboremos un análisis lo más completo posible siempre con vista a completar este y evolucionar en su desarrollo.
El análisis de riesgos deberá ser un elemento dinámico dentro del sistema de cumplimiento por lo que se recomienda una revisión periódica y una actualización constante. Para facilitar el dinamismo dentro del propio análisis encontramos herramientas tanto offline como online que facilitan el seguimiento y control de cada escenario. Resultan especialmente útiles aquellas herramientas que bien ya sean específicas para el análisis de escenarios o aquellas cuya capacidad de programación o personalización nos facilite su uso. En nuestro caso hemos comprobamos como aquellas aplicaciones basadas en tablas de celdas ofrecen unas posibilidades prácticamente infinitas dentro de la creación de sistemas de análisis, por lo que herramientas como Excel y las versiones en la nube de Microsoft o Google pasando por plataformas de pago basadas en tablas y celdas hasta ahora han resultado ser sumamente eficaces para su cometido.
Entrando en los elementos propios del análisis de riesgos, tenemos en cuenta que la identificación de estos, parte de un examen previo de la situación de la organización, así como el contexto que le rodea o las partes interesadas o grupos de interés dentro de la organización por lo que cada escenario habrá sido previamente identificado para proceder a su análisis. En este primer punto de identificación del escenario de riesgo entendemos que el factor humano es esencial dentro de la comisión de delitos en beneficio de la organización o dentro de esta por lo que la individualización de los grupos de interés es la base de un buen análisis. Estos grupos de interés serán necesariamente cruzados con situaciones del contexto de la organización, así como áreas de actividad, departamentos, membresía dentro de la organización o contacto con otros grupos de interés. Llegados a este punto tenemos identificado un sujeto dentro de un contexto concreto por lo que ahora debemos identificar qué fuentes de riesgo o causas existen dentro de este escenario, esto pueden ser obligaciones legales o contractuales derivadas del desempeño así, como procesos que necesariamente implican una situación de riesgo de comisión de delito o el simple contacto con personal necesario para la comisión de determinados delitos como por ejemplo funcionarios públicos.
Cuando el escenario es lo suficientemente completo e ilustrativo podemos comenzar a valorar precisamente el riesgo de este y ver que tipo de situación real o potencial se está dando en nuestra organización, así como las consecuencias de dicho escenario. Una vez disponemos de todos los elementos se procede a la formulación del riesgo para determinar la situación de riesgo del escenario. En este caso podemos asignar un valor numérico para obtener una representación visual basada en una escala.
La asignación de los valores
La formulación más frecuente y que generalmente se utiliza es la que contempla la probabilidad y la consecuencia o impacto de cada escenario. Cabe mencionar que los sistemas más complejos de análisis de riesgos contemplan a su vez fórmulas que determinan tanto la probabilidad como el impacto por lo que resultan no solo más certeros sino más eficaces a la hora de abordar decisiones encaminadas a reducir la valoración del riesgo, ya sea mediante la reducción de la probabilidad de comisión de delitos o por la reducción del impacto o las consecuencias de este si finalmente llegase a producirse.
Debemos tener en cuenta que nunca existirá un impacto cuyo valor sea cero dado que de ser así no estaría contemplado dentro de los escenarios de riesgo para la organización al no suponer ningún tipo de amenaza o peligro ni siquiera potencial. Por tanto, entendemos que nadie puede afirmar categóricamente que existan riesgos cuya probabilidad o impacto son absolutamente imposibles de darse en la organización y debemos establecer un valor mínimo a asignar en función de la escala que utilicemos.
Para el caso de la probabilidad tampoco podemos llegar a afirma que tenemos la absoluta certeza de que algo nunca llegará a producirse y que, por tanto, podemos otorgar a un escenario la probabilidad cero o nula de que llegue a producirse. Esto se enfoca desde una perspectiva más realista que pesimista y es que de conocer con certeza que algo nunca llegará a producirse tendremos en nosotros un poder sobrehumano que nos otorgaría una ventaja competitiva fuera de lo común.
En cambio, sí podemos determinar un impacto crítico cuya probabilidad es 100% factible, más aún cuando el valor absoluto del impacto es puramente subjetivo y el valor absoluto de la probabilidad se puede dar incluso cuando ya ha ocurrido anteriormente en la organización, es decir, que para otorgar el valor más alto de la probabilidad basta con que valoremos la posibilidad de que ya se haya producido antes o que bien se haya producido en el entorno de la organización o incluso en organizaciones similares. Lo mismo ocurre con el impacto, puesto que la gravedad de las acciones o las posibles consecuencias implican una valoración subjetiva, es el criterio del responsable del análisis el que determinará que un escenario alcance los valores más altos de la escala.
Resulta tan importante como necesario plasmar el marco en el que se mueven los diferentes valores en cada escala puesto que de esta forma limitamos la interpretación subjetiva de cada valoración y objetivizamos la labor del analista. Esto no solo otorga un plus de profesionalidad dentro del sistema, sino que nos permite disponer de elementos eficaces que no queden a merced de la interpretación o las circunstancias. En este punto, una escala en cinco tramos resulta idónea para clasificar los diferentes valores dentro de nuestro sistema frente a las escalas de tres tramos más tradicionales y sencillas en las que se tienden a asignar valores medios por miedo a los altos absolutos.
| ESCALA DE 5 | ESCALA DE 3 |
| Extremo | Alto |
| Alto | |
| Medio | Medio |
| Moderado | Bajo |
| Bajo |
Como vemos, la atomización de los valores en el análisis supone una herramienta sumamente útil que nos permite ajustar cada valoración de escenario a la realidad, permitiendo no solo elaborar sistemas de identificación y control realistas sino también actuar consecuentemente sobre cada escenario con la mayor precisión posible, ahorrando sobrecostes y esfuerzos.
Dentro de cada valor de la escala debemos incluir la descripción que más se ajuste a las circunstancias en cada caso y para cada baremo. De esta forma podemos entender que un valor extremo en el caso de la probabilidad es aquel que “es susceptible de producirse con facilidad, ha ocurrido antes en la organización o puede cometerse por cualquier persona dentro de la organización”. Para el caso del impacto, podemos entender que los valores más altos están reservados a aquellos escenarios cuyas consecuencias o impactos “pueden afectar drásticamente a un producto, proceso, servicio, recurso de la organización, existen altas penas de prisión y consecuencias para la organización, los daños reputacionales pueden llegar a ser muy altos y con graves consecuencias”.
La valoración generalmente se hace de forma numérica, aunque para entender esta valoración asignemos igualmente una descripción o un nombre. Así, en una escala del 1 al 10, los valores extremos podrían ser el 9 y el 10 mientras que el valor más bajo es el 1 o el 2. Este tipo de asignación numérica se utiliza para facilitar la formulación de los valores dentro de la ecuación de la probabilidad por el impacto ya que, aunque existen escalas con una valoración simplemente nominal estas no resultan del todo eficaces puesto que son poco claras e intuitivas dando lugar a numerosas interpretaciones.
Respecto a la valoración numérica, resulta frecuente es utilizar una escala del 1 al 5 o bien del 1 al 10 pero siempre buscando el equilibrio entre el realismo del análisis de cada escenario y el control sobre la propia formula y valoración. En nuestro caso de ejemplo vemos como en una escala del 1 al 5, el valor más alto es el 25 y el menor el 1 (recordamos que el valor 0 no se debe utilizar), por lo que una matriz con estos valores puede quedar de la siguiente forma:
| GRAVEDAD (IMPACTO) | ||||||
| PROBABILIDAD | 1 | 2 | 3 | 4 | 5 | |
| 1 | 1 | 2 | 3 | 4 | 5 | |
| 2 | 2 | 4 | 6 | 8 | 10 | |
| 3 | 3 | 6 | 9 | 12 | 15 | |
| 4 | 4 | 8 | 12 | 16 | 20 | |
| 5 | 5 | 10 | 15 | 20 | 25 |
Con este tipo de valoración numérica, resulta sencillo asignar a cada valor un nombre dentro de nuestra escala por lo que el análisis inmediato tras la aplicación de la fórmula es el siguiente:
- Riesgo extremo (del 21 al 25) sería un riesgo no aceptable para la organización;
- Riesgo alto (del 16 al 20) sería un riesgo no aceptable para la organización;
- Riesgo medio (del 11 al 15) sería un riesgo aceptable o no (a valorar) para la organización;
- Riesgo moderado (del 6 al 10) sería un riesgo aceptable para la organización;
- Riesgo bajo (del 1 al 5) sería un riesgo aceptable para la organización.
Es importante destacar que tanto la valoración numérica como la asignación nominal de cada tramo es algo orientativo y siempre debe quedar a criterio del responsable del análisis para asegurar una representación fiel de cada escenario, aunque es importante que sea lógico e intuitivo, así como previamente documentado para justificar cada asignación.
Seguimiento y control de cada escenario
Tan necesario resulta identificar cada escenario de riesgo como establecer los sistemas de seguimiento y control para cada uno de estos. No podemos olvidar que la principal función de los sistemas de cumplimiento es precisamente la prevención por lo que establecer sistemas de vigilancia para las situaciones de riesgo más altas es tan fundamental como necesario.
Generalmente tras la valoración de un escenario de riesgo se suceden a su vez dos posibles escenarios: un escenario de riesgo cuya valoración queremos mantener (bien porque sea baja o bien porque no podemos bajarla más por el momento), o un escenario cuya valoración deseamos bajar. En ambos casos se deben diseñar planes de acción encaminados a conseguir la situación deseada por lo que establecer controles de vigilancia sobre estos planes de acción es un indicador de seguimiento muy eficaz. Muy posiblemente identifiquemos la formación o la desfragmentación de responsabilidades como planes de acción encaminados a conseguir la situación de riesgo deseada por lo que debemos asegurarnos de que estos planes no solo se cumplen dentro de la organización, sino que los recursos empleados en estos planes son los idóneos (eficaces y eficientes).
Una vez abordado el escenario, podemos de nuevo establecer una valoración de la situación para determinar la eficacia del plan de acción y la nueva situación del escenario ya que, si hemos destinado recursos a reducir un riesgo alto, tendremos que conocer la situación en la que se encuentra este riesgo y si felizmente hemos conseguido bajar a medio o bajo o por el contrario los planes destinados a la reducción de riesgos han sido en vano.
Conclusión
Como vemos, la elaboración de un análisis de riesgos y un completo sistema de identificación y evaluación de escenarios de riesgo penal resulta complejo sin entrar en la identificación de los tipos penales que establece el Código Penal para las personas jurídicas. El análisis de cada uno de los delitos, así como las medidas tanto de identificación de estos como su posterior control, requieren un desarrollo aparte en el sistema de cumplimiento por lo que forman parte de la identificación del contexto de la organización en este caso del entorno legal que lo rodea. Es este punto el que requiere de la experiencia y los conocimientos del especialista en derecho y que resulta necesario para la elaboración de los sistemas de cumplimiento por lo que cada vez más se requieren los profesionales con competencia técnica tanto en el desarrollo de sistemas de gestión como capaces de hacer lectura y desarrollar la parte legal.
Álvaro Talens
15 de septiembre de 2020
Álvaro Talens, graduado en derecho y máster en abogacía por la Universidad de Jaén, actualmente como socio en el despacho de abogados Unixa especializado en sistemas de gestión, cumplimiento y consultoría legal. Soy un apasionado del mundo legal y la tecnología, especialmente del ámbito de los derechos digitales, la protección de datos personales y la aplicación práctica del derecho en el entorno tecnológico.
Redes sociales:
