¿Cómo elaborar una matriz de riesgos penales para la prevención de delitos?

¿Cómo elaborar una matriz de riesgos penales para la prevención de delitos?

En el marco de la responsabilidad penal corporativa las empresas pueden eximir su responsabilidad penal por delitos cometidos por sus empleados siempre y cuando el modelo de prevención penal que tengan implantado cumpla con los requisitos establecidos en el propio precepto penal.

También sería un error limitar el catálogo a la normativa local (Código Penal). En este sentido conviene recordar el fuerte carácter extraterritorial o de atracción de jurisdicción que tienen las leyes antisoborno anglosajonas. Tanto la Foreign Corrupt Practices Act USA como la Bribery Act UK, permiten el enjuiciamiento de empresas por actos de soborno cometidos fuera de sus territorios que constituyen un riesgo para empresas de cualquier lugar.

Con el catálogo de delitos en la mano, antes de iniciar el trabajo, la organización debe tener claro el objetivo. Saber por qué se hacen las cosas facilita mucho cómo hacerlas. Eso es lo importante. Si se realiza un análisis de riesgos solo porque lo exige el Código Penal el resultado final será un documento ineficaz. La razón por la que se deben identificar y evaluar los riesgos de comisión de delitos en el seno de una empresa es porque ésta es la manera de aplicar las medidas de prevención de una forma más eficiente, aplicando los recursos económicos y humanos en su justa medida a cada riesgo en función de su importancia y probabilidad de comisión. De esta forma se evita que se dediquen los mismos recursos a riesgos desiguales con la consiguiente pérdida de eficacia.

Por ejemplo, en materia anticorrupción, las políticas de prohibición de regalos y gastos de hospitalidad a terceros están muy bien, pero sería un error destinar el mismo tiempo y recursos a los pagos modestos en la actividad ordinaria que a transacciones decisivas para la empresa con administraciones públicas en el extranjero, que requerirá de controles específicos, autorizaciones de superiores para pagos, etc.

El objeto de análisis es la actividad o actividades de la organización lo que implica un trabajo desde lo genérico a lo específico, desde los riesgos propios del sector de actividad a los riesgos del concreto puesto de trabajo en el cual se pueden ejecutar las conductas constitutivas de delito.

Para la elaboración del mapa de riesgos se debe tener un buen entendimiento de la organización y su contexto, usando como guía la UNE 19601 de compliance penal. Esto implica analizar:

  • El tamaño y la estructura de la organización.
  • La ubicación y sectores en los que opera.
  • La naturaleza de las actividades.
  • Las entidades sobre las que ejerce control.
  • Los miembros de la organización y socios de negocio.
  • Las obligaciones y compromisos legales de la organización.

Dicho de otro modo y sin ser exhaustivos, el análisis genérico debe identificar los riesgos delictivos a través del conocimiento de:

  • Los riesgos propios del sector de actividad de la organización, que se pueden recabar a través de informes sectoriales o por organizaciones públicas y no gubernamentales.
  • El riesgo propio derivado de la estructura y tamaño de la empresa.
  • El riesgo normativo del país de la matriz y de las filiales.
  • El riesgo geográfico de los países en los que opera.
  • El riesgo de participar con terceros, proveedores, socios…
  • El riesgo por la naturaleza de las transacciones comerciales de la organización.

Análisis de los riesgos

Para analizar el riesgo, antes debe delimitarse el concepto mismo de riesgo. Si se establece como riesgo la comisión del hecho tipificado penalmente; por ejemplo, la acción de evadir el pago de impuestos por encima de 120.000 euros en el caso del delito fiscal, la eficacia del modelo de prevención será escasa ya que no podrá actuar ante la aparición de banderas rojas (señales de incumplimiento) previas a la comisión del delito.

En muchos casos, los delitos tienen homólogos más leves y amplios en el derecho administrativo, como es el caso del ejemplo, que permiten definir el riesgo fiscal de una forma más amplia y anticipada. En otros delitos, como la insolvencia punible, no existe referente administrativo, por lo que el riesgo debe identificarse con el valor o bien jurídico que la norma penal pretende cubrir. En el caso de la insolvencia punible se protege el derecho de los acreedores o inversores y terceros, por lo que el riesgo se situaría en las propias transmisiones de activos entre empresas vinculadas, por ejemplo.

En muchos casos, los delitos tienen homólogos más leves y amplios en el derecho administrativo, que permiten definir el riesgo fiscal de una forma más amplia y anticipada.

Del análisis genérico del riesgo se pasa al análisis concreto de actividades o, si se prefiere al análisis interno para lo cual, al menos, deberá tenerse en cuenta:

  • El historial de infracciones de la empresa y de sus miembros en la ejecución de la actividad empresarial, no sólo en la comisión de delitos, sino en infracciones administrativas, laborales, demandas civiles e incluso opiniones o quejas comunicadas a la empresa o vertidas en redes sociales. La existencia de demandas civiles por infracción de propiedad industrial, por ejemplo, da indicios de un riesgo de delito contra la propiedad industrial, pero además evidencia que la empresa dedica pocos recursos a la investigación y desarrollo, con el consiguiente riesgo de que el equipo comercial, ante la baja competitividad, recurra a malas prácticas de corrupción pública o privada para obtener resultados.
  • El organigrama de la empresa, con el fin de definir claramente las responsabilidades y obligaciones de cada departamento sobre el que debe realizarse el análisis de riesgo. En estructuras poco organizadas o excesivamente jerarquizadas, no se delimitan las tomas de decisiones o las decisiones de responsables intermedios quedan anuladas por superiores. En estos casos la deficiente organización amplía la probabilidad de riesgo por causas internas. Por ejemplo, si el ingeniero responsable de calidad carece de autonomía (sueldo bajo, poca preparación o desautorizado habitualmente) y sus informes de calidad no son tenidos en cuenta, el riesgo de daños por producto defectuoso aumenta.
  • Los procedimientos de actuación ya establecidos por la empresa o aquellos que se realizan al margen del procedimiento establecido por desidia o falta de controles. En ocasiones la costumbre o hacer las cosas “como siempre se han hecho”, no se detecta hasta que no se analiza con profundidad la organización. En este sentido, el analista debe estar atento ya que buena parte de los delitos en la empresa se cometen a través de lo que se conoce en derecho penal como autoría mediata (aquél que utiliza a un tercero para la comisión de un delito), de modo que la persona que ejecuta los actos propios del hecho delictivo ejecuta una acción que le ha sido ordenada sin conocer la verdadera dimensión de sus actos.
  • El análisis tendrá en cuenta los controles ya establecidos y su eficacia. En este caso, aquellos controles que no estén documentados o que no han sido verificados no pueden ser tenidos en cuenta.

El análisis del riesgo se puede hacer por departamentos atendiendo en una primera aproximación a los riesgos que son propios de la actividad del departamento para alcanzar un nivel más profundo mediante la realización de entrevistas, test, o fórmulas similares de obtener información exhaustiva. En esta parte final es especialmente relevante la intervención del analista que es conveniente, como se ha dicho al principio, que conozca las dinámicas delictivas para incidir en aquellos aspectos de riesgo que la propia organización no es capaz de ver. La opinión de los responsables altos o medios, también aporta una valiosa información.

En el análisis del riesgo se establece la diferencia entre riesgo inherente y riesgo residual. El riesgo inherente es el que existiría si la empresa no aplica ninguna medida de prevención. El riesgo residual es el resultado de descontar el efecto de las medidas de prevención al riesgo inherente. En organizaciones de baja cultura de cumplimiento es preferible prescindir del riesgo inherente. En las empresas con modelos de compliance desarrollados es conveniente medir de alguna forma ambos parámetros con la finalidad de avanzar y mejorar en el modelo, siempre y cuando se acredite que los controles son eficaces.

Cómo se ha dicho al principio, el objetivo de elaborar un mapa de riesgos es tener un documento que permita guiar la eficacia de las medidas de prevención dedicando mayores esfuerzos a los riesgos más graves. Por ello, la elaboración del mapa exige que se determine la prioridad de actuación sobre los riesgos detectados. De nuevo, la metodología es variada y cada organización debe elegir la más apropiada. Se pueden tener en cuenta diversos factores (algunos de ellos ineludibles):

  • La probabilidad de que el riesgo se materialice es un elemento inexcusable de la evaluación.
  • Impacto para la propia organización desde el punto de vista económico, consistente en el perjuicio que la empresa puede sufrir si se detecta el delito. Por ejemplo, para una empresa de energías renovables el impacto de una pena de prohibición de recibir subvenciones es muy alto.
  • Impacto desde el punto de vista reputacional. Especialmente relevante para empresas con mucha visibilidad en redes sociales, por ejemplo.
  • La importancia del valor o bien jurídico protegido por la norma penal. Es obvio que valores como la vida humana o la salud son prioritarios a otros como los derechos de propiedad intelectual.

La realización de una tabla o gráfica combinando los factores más relevantes para la empresa, por ejemplo, probabilidad e importancia para la sociedad del valor protegido, dará un listado de prioridades que puede establecerse por numeración, valores de importancia siguiendo el criterio más razonable.

Este es un trabajo, dinámico no estático, por lo que se debe revisar regularmente ya que tanto la organización, como la normativa varían y porque conforme la organización madura en cumplimiento, la percepción del riesgo también madura.

 Fuente: http://www.compromisoempresarial.com

Otras Fuentes

http://sirse.info
A través de "Otras fuentes" publicamos artículos relacionados de otros medios, notas de prensa, o artículos de usuarios no registrados en sirse.info
Otras Fuentes
Categorias: Internacional, Noticias

Escribir Comentario

<