“El mapa de riesgos penales que cada empresa define es específico para dicha organización y no puede exportarse”·
Jesus Santín impartió en IECOM un webinar para analizar los criterios prácticos para elaborar un mapa de riesgo penales. El objetivo de la sesión fue exponer el marco normativo y los conceptos esenciales en este ámbito, y facilitar herramientas para elaborar un mapa de riesgos penales que se fundamente en criterios objetivos, y que sea acorde con las exigencias el Código Penal y de los principales estándares internacionales en la materia.
Desde su punto de vista “el gran reto a la hora de definir el mapa de riesgos penales de la organización es el establecimiento de criterios objetivos para la evaluación de los riesgos, de forma que el resultado final se pueda defender en base a fundamentos alejados de la mera apreciación subjetiva”.
Para Entrena “lo relevante es que el mapa de riesgos penales de cada empresa deberá ser específico para esa organización, tras realizarse un profundo análisis de su estructura, organización, sector de actividad y procedimientos, que nos permita llevar a cabo el proceso de evaluación individual de cada uno de los riesgos penales”.
¿Podría explicarnos qué metodología hay que tener en cuenta para definir un mapa de riesgos penales en la organización?
El mapa de riesgos penales es la forma de representar el resultado del trabajo previo de evaluación de los riesgos penales, proceso que incluye su identificación, análisis y valoración.
Por ello, resulta esencial establecer los parámetros utilizados para llevar a cabo esa evaluación, que nos permitan concretar en base a qué valoramos la probabilidad y el impacto de un determinado riesgo penal.
Para determinar la probabilidad de la producción de un riesgo penal habrá que atender a factores como los antecedentes en la organización, la cultura de los empleados y directivos respecto a la conducta ilícita y la relación del riesgo con la actividad de la entidad; y para el impacto, la eventual pena que se impondría a la organización en caso de materializarse el riesgo, sus consecuencias económicas y el impacto reputacional.
¿Qué diferencias esenciales se encuentra entre una empresa financiera, otra farmacéutica y una tecnológica en la definición de un mapa de riesgos?
El Código Penal utilizó el sistema de numerus clausus para determinar los delitos que podían ser cometidos por una persona jurídica o para los que se preveía alguna consecuencia accesoria, y el resultado final es un catálogo de tipos delictivos muy diferentes, que engloba conductas muy heterogéneas, que van desde el tráfico ilegal de órganos hasta delitos de manipulación de los mercados de valores.
Habrá que atender a la actividad de la empresa en cuestión y al sector en el que opera para determinar qué delitos tienen una probabilidad mayor de ser cometidos en el seno de la organización.
A simple vista, parece evidente que habrá determinadas conductas que tengan más incidencia en función del sector de actividad. Así, a modo de ejemplo, una empresa financiera deberá prestar especial atención a delitos como el blanqueo de capitales; una empresa farmacéutica a delitos contra la salud pública, o de corrupción; y una empresa tecnológica, a delitos relacionados con las nuevas tecnologías.
Ahora bien, lo relevante es que el mapa de riesgos penales de cada empresa deberá ser específico para esa organización, tras realizarse un profundo análisis de su estructura, organización, sector de actividad y procedimientos, que nos permita llevar a cabo el proceso de evaluación individual de cada uno de los riesgos penales.
¿Quién evalúa esos riesgos que existen en la empresa y qué papel puede jugar los expertos en derecho penal que se busquen para asesorar a la propia compañía?
Habitualmente las empresas no suelen contar con expertos en Derecho Penal en su organización, por lo que más allá de que internamente se pueda contribuir a diseñar y promover la implantación de programas de compliance, parece que en el ámbito concreto de la valoración de los riesgos penales será conveniente recurrir a un profesional externo con conocimientos y experiencia en la materia.
¿Cómo nos puede ayudar en la definición de ese mapa de riesgos el utilizar la guía UNE 19601 de compliance penal?
Dada la brevedad con la que se ha abordado la regulación de los modelos de prevención de riesgos penales o programas de gestión de compliance en el Código Penal, que prácticamente se contiene en los diversos apartados de un único precepto, resulta esencial recurrir a otras disposiciones o estándares normativos.
Y en este sentido, la UNE 19601 que establece los criterios para la implementación de sistemas de gestión de compliance penal conforme a las mejores prácticas establecidas por grupos de trabajo internacional, adaptadas especialmente a la regulación del Código Penal español, es una herramienta muy valiosa, que nos va a permitir disponer de parámetros comúnmente aceptados para llevar a cabo el trabajo de implementación del programa.
De todos esos riesgos penales ¿Cuáles preocupan más a las empresas y de qué manera se pueden mitigar su repercusión?
Lo cierto es que, en función de las características de cada entidad, se tendrá que priorizar el tratamiento de uno u otro riesgo, dado que el impacto que puede tener su materialización será diferente, y hay determinados riesgos penales que para una organización podrían tener un impacto asumible mientras que, para otras, supondrían su práctica desaparición.
Imaginemos, por ejemplo, una ONG que actúe en el ámbito internacional que se viera involucrada en un delito de trata de seres humanos, parece evidente que -al margen de la sanción penal- posiblemente el impacto reputacional del hecho supondría la imposibilidad de que la organización continuara con su actividad.
Los delitos que actualmente está adoptando un creciente protagonismo con carácter general son los asociados a la corrupción -tanto en el sector público como privado- y se está poniendo de manifiesto una reducción de la tolerancia de los ciudadanos con estas prácticas y una concienciación por parte de las organizaciones.
Las medidas para mitigar este riesgo penal, entiendo que se deben producir en tres ámbitos muy concretos: en primer lugar, con una política clara de la organización que, a través de su alta dirección, manifieste con nitidez su rechazo frontal de estas prácticas; en segundo lugar, mediante la adecuada formación de los empleados; y, finalmente, con una política de control de los recursos económicos de la empresa que impida que éstos se puedan destinar a prácticas de corrupción.
Hay algunos expertos que hablan del riesgo inherente diferenciado del residual, ¿Está de acuerdo con esa división? ¿Cómo contempla ambos fenómenos?
El riesgo inherente se suele asociar al riesgo de que se produzca una determinada conducta delictiva con independencia de los controles que puedan existir para mitigarlo
Para la implementación de un sistema de gestión de compliance penal, inicialmente se tendrá que realizar una valoración del riesgo penal inherente, que nos permitirá tener un diagnóstico claro de en qué medida ese riesgo afecta a la organización y, a partir del mismo, analizar la suficiencia de las medidas existentes en la organización, y , en su caso, diseñar nuevas medidas para su mitigación.
Evidentemente, mediante dichas medidas y controles se podrá reducir -a veces muy significativamente- el riesgo de comisión de la conducta, pero siempre permanecerá un riesgo, que es lo que denominamos riesgo residual.
¿Qué tipos de controles o de medidas hay que poner en marcha para mitigar esos riesgos antes detectados?
Muchas de estas medidas ya están implementadas en las empresas, son los procesos que habitualmente están implantados en las organizaciones y que contribuyen a mitigar riesgos penales: las medidas en materia de prevención de riesgos laborales, la protección de datos, los procedimientos de compras, los sistemas de seguridad informática, o las auditorías, entre muchos otros.
La implementación de un sistema de gestión de Compliance supone diseñar una serie de medidas de carácter general, como pueden ser la aprobación de una política de cumplimiento por parte del órgano de administración, la atribución de competencias para la supervisión del modelo dentro de la organización, la aprobación de un código ético o el establecimiento de un canal de denuncias, que nos van a permitir integrar, sistematizar y estructurar medidas que ya existían en la organización.
Adicionalmente, se pueden diseñar políticas específicas para mitigar riesgos penales muy concretos, como pueden ser las políticas anticorrupción o protocolos para la prevención del acoso laboral, y mejorar las políticas ya existentes. Lo relevante será que dichas medidas se diseñen en función de los riesgos penales y las características propias de cada entidad.
¿Cómo cree que ha impactado el Covid19 en los programas de compliance de la empresa y en la definición de los riesgos penales de cada compañía?
La introducción de los programas de compliance a través del Código Penal, con carácter general para todas las empresas, es relativamente reciente en España, dado que se desarrolla fundamentalmente con la reforma del Código Penal del año 2015.
Las empresas de mayor tamaño ya disponían de estos sistemas de gestión o empezaron a implementarlos a partir de la reforma, pero por mi experiencia, está resultando más difícil concienciar a las pequeñas y medianas empresas de la conveniencia de estos programas.
Desgraciadamente, las consecuencias financieras derivadas de la pandemia, han supuesto una reticencia mayor a destinar recursos a implementar estas medidas, pero confío que la recuperación económica se aproveche como una oportunidad para redefinir proyectos y para tomar conciencia de que la implementación de un programa de compliance es una inversión, y no un coste, para la empresa.