El análisis de riesgos en los programas de compliance

• Author: Borja Pareja García
• Profession: Socio de Unixa - Abogado
• Pages: 83-102

EL ANÁLISIS DE RIESGOS EN LOS PROGRAMAS DE

COMPLIANCE

B P G

Socio de Unixa - Abogado

I. INTRODUCCIÓN AL ANÁLISIS DE RIESGOS EN COMPLIANCE PENAL

El análisis de riesgos debe ser el centro del sistema de cumplimiento normativo de

la empresa, pues, la correcta identi cación de los delitos que se pueden materializar

en la organización, las áreas donde se pueden materializar, el personal especialmente

expuesto a cada uno de los riesgos, la probabilidad de comisión del delito, el impacto

que dicha comisión tendría en la Organización, la monitorización de cada uno de

los riesgos y su evolución, serán fundamentales, desde el punto de vista preventivo y

reactivo:

- Preventivo, para elaborar las políticas necesarias para mitigar dichos riesgos,

adecuar los mecanismos de control, supervisión de cada uno de los riesgos

susceptible de materialización, simulación de crisis derivadas de los riesgos de

mayor probabilidad y/o impacto.

- Reactivo: En el supuesto de que la organización –o un colaborador– cometa un

delito, igualmente, será fundamental que el análisis de riesgos sea  dedigno, pues

la organización ya tendría implementadas las medidas necesarias para mitigar

su impacto, además, en sede judicial, que el sistema de Compliance instaurado

contemple el delito cometido en el análisis de riesgos y que las medidas de pre-

vención adoptadas por la organización sean idóneas para prevenir dicho delito

será imprescindible para que se estime el sobreseimiento de la causa para la

Persona Jurídica, el atenuante o eximente1.

A nivel legislativo, se le impone a la persona jurídica la necesidad de que analice los

riesgos de comisión delictiva en el apartado 5.1º del artículo 31 bis del Código Penal:

1 Artículo 31 bis Código Penal.

Borja Pareja García

84

Identi carán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben

ser prevenidos.

En este sentido, se pronuncia la Fiscalía General del Estado en su circular 1/2016

donde establece “La persona jurídica deberá establecer, aplicar y mantener procedimien-

tos e caces de gestión del riesgo que permitan identi car, gestionar, controlar y comunicar

los riesgos reales y potenciales derivados de sus actividades de acuerdo con el nivel de

riesgo global aprobado por la alta dirección de las entidades, y con los niveles de riesgo

especí co establecidos. Para ello el análisis identi cará y evaluará el riesgo por tipos de

clientes, países o áreas geográ cas, productos, servicios, operaciones, etc., tomando en

consideración variables como el propósito de la relación de negocio, su duración o el

volumen de las operaciones.”

Desde el ámbito de los estándares de normalización, especialmente, los creados

por la Organización Internacional de Normalización (ISO de sus siglas en ingles)2

son fundamentales los análisis de riesgos en sus sistemas de gestión, así, la ISO 9001

(gestión de la calidad) analiza los riesgos que pueden comprometer la calidad del

servicio analizado, la ISO 14001 (Sistemas de gestión ambiental), analiza los riesgos

medioambientales o la ISO 27001 (Tecnología de la información. Técnicas de seguri-

dad. Sistemas de Gestión de la Seguridad de la Información) analiza los riesgos para

la seguridad de la información.

La normalización estandarizada que estructura los sistemas de Compliance, igual-

mente, incorporan análisis de riesgos:

- ISO 19600, en su punto 4.6 de “identi cación, análisis y evaluación de los riesgos

de compliance” establece que dicha evaluación de riesgos “constituye la base

para la implementación del sistema de gestión del compliance” así como para la

“plani cación de recursos y de procesos que sean adecuados y apropiados para

gestionar los riesgos de Compliance identi cado” 3

o Se deberán identi car los riesgos relacionando con sus obligaciones de

cumplimiento en los siguientes aspectos:

Actividades

Productos

Servicios

Aspectos relevantes de sus operaciones

Situaciones donde puedan ocurrir incumplimientos

2 En España, es la Asociación Nacional de Asociación Española de Normalización (UNE), es la

entidad encargada de realizar las actividades de normalización (normas UNE) y también participa en

la normalización internacional (normas EN e ISO), puede visitar www.une.org. Aunque son aplicables

aquellos estándares internacionales (ISO) que no necesiten una adecuación especial, como por ejemplo

la ISO 9001 de Sistemas de Gestión de la Calidad.

3 UNE-ISO 19600:2015 Sistemas de gestión de Complian ce. Directrices.