¿Cómo elaborar una matriz de riesgos penales para la prevención de delitos?

Cabe decir que tanto la práctica como la teoría del compliance han superado con creces las expectativas de los escuetos requisitos que plantea el Código Penal español en el artículo 31 bis y que, en las buenas prácticas de esta disciplina, los programas de cumplimiento deben ir más allá de la mera prevención penal en favor de políticas de cumplimiento mucho más amplias.

Esto no significa que deba obviarse la prevención penal conforme los parámetros de la norma española, todo lo contrario, deben integrarse en los modelos de compliance creando una estructura única capaz de crear a la vez, cultura de cumplimiento y prueba acreditable ante un tribunal.

Por ejemplo, en el caso de una filial de una empresa con matriz en el extranjero, aunque tenga un programa de compliance válido conforme a la matriz, si llega el caso de tener que rendir cuentas ante un Tribunal Penal, no podrá acreditar su exoneración si no cuenta con un documento de identificación de riesgos de delitos tal y como pide el artículo 31 bis del Código Penal.

Este requisito específico del modelo de prevención penal exige la identificación de las “actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”, de acuerdo con la pobre definición del Código Penal. Se trata de un documento, matriz, mapa de riesgos o risk assessment, cuya función es analizar y evaluar el riesgo de comisión de delitos en el seno de una determinada organización.

Cada organización debe elaborar su propia matriz de riesgos partiendo de sus propias circunstancias y estructura. La matriz de riesgos penales no puede ser nunca un documento estándar o preconcebido, ni siquiera para empresas de un mismo sector de actividad. Ni tampoco la metodología de elaboración puede ser la misma, por ejemplo, en una empresa con estructuras complejas que una pyme, o en una organización con un modelo de compliance ya implantado que en otra con un bajo nivel de cultura de cumplimiento.

No puede teorizarse sobre un modelo de elaboración del análisis de riesgos que sirva para todos, pero a través de los marcos de referencia de prevención de delitos internacionales (Sentencing Guidlines USA, Bribery Act Guidence UK, Recomendaciones OCDE) y de las estándares nacionales e internacionales  (ISO 19600 , ISO 31000 o UNE 19601) y la experiencia del compliance en los últimos años se pueden obtener buenas referencias de trabajo.

La evaluación de riesgos es una tarea interna de la organización que se realiza a través de los órganos de control internos o de función de compliance. Se trata, sin embargo, de un trabajo con diversos vértices y disciplinas que exige entre otros, la intervención de expertos en derecho penal que aportarán el conocimiento de las dinámicas de comisión de delitos en el tráfico empresarial.

Por ejemplo, si se evalúa el riesgo de incurrir en un delito de blanqueo de capitales se puede caer en el error común de pensar que no es un riesgo para los sujetos no obligados por la Ley de Prevención de Blanqueo. Sin embargo, el experto conoce que el delito de blanqueo se puede cometer por imprudencia de cualquier persona física o jurídica, de modo que la organización podría incurrir en un delito de blanqueo imprudente, por ejemplo, en la captación de inversiones procedentes de fondos ilícitos.

El catálogo de delitos

El catálogo de delitos que deben ser analizados serán, en principio, aquellos que den lugar a la responsabilidad penal corporativa según el Código Penal que, como se sabe, no son todos. La inclusión de otros posibles delitos en el análisis es decisión de la organización, pero teniendo en cuenta que el objetivo del trabajo es minimizar el riesgo para la empresa es aconsejable ampliar el campo a otros delitos que, aunque no implican responsabilidad penal, pueden suponer responsabilidad civil o daños reputacionales a la empresa. O, incluir algunos delitos claramente empresariales, como los de seguridad laboral, que el legislador ha decidido dejar fuera de la responsabilidad penal empresarial.

También sería un error limitar el catálogo a la normativa local (Código Penal). En este sentido conviene recordar el fuerte carácter extraterritorial o de atracción de jurisdicción que tienen las leyes antisoborno anglosajonas. Tanto la Foreign Corrupt Practices Act USA como la Bribery Act UK, permiten el enjuiciamiento de empresas por actos de soborno cometidos fuera de sus territorios que constituyen un riesgo para empresas de cualquier lugar.

Con el catálogo de delitos en la mano, antes de iniciar el trabajo, la organización debe tener claro el objetivo. Saber por qué se hacen las cosas facilita mucho cómo hacerlas. Eso es lo importante. Si se realiza un análisis de riesgos solo porque lo exige el Código Penal el resultado final será un documento ineficaz. La razón por la que se deben identificar y evaluar los riesgos de comisión de delitos en el seno de una empresa es porque ésta es la manera de aplicar las medidas de prevención de una forma más eficiente, aplicando los recursos económicos y humanos en su justa medida a cada riesgo en función de su importancia y probabilidad de comisión. De esta forma se evita que se dediquen los mismos recursos a riesgos desiguales con la consiguiente pérdida de eficacia.

Por ejemplo, en materia anticorrupción, las políticas de prohibición de regalos y gastos de hospitalidad a terceros están muy bien, pero sería un error destinar el mismo tiempo y recursos a los pagos modestos en la actividad ordinaria que a transacciones decisivas para la empresa con administraciones públicas en el extranjero, que requerirá de controles específicos, autorizaciones de superiores para pagos, etc.

El objeto de análisis es la actividad o actividades de la organización lo que implica un trabajo desde lo genérico a lo específico, desde los riesgos propios del sector de actividad a los riesgos del concreto puesto de trabajo en el cual se pueden ejecutar las conductas constitutivas de delito.

Para la elaboración del mapa de riesgos se debe tener un buen entendimiento de la organización y su contexto, usando como guía la UNE 19601 de compliance penal. Esto implica analizar:

• El tamaño y la estructura de la organización.
• La ubicación y sectores en los que opera.
• La naturaleza de las actividades.
• Las entidades sobre las que ejerce control.
• Los miembros de la organización y socios de negocio.
• Las obligaciones y compromisos legales de la organización.

Dicho de otro modo y sin ser exhaustivos, el análisis genérico debe identificar los riesgos delictivos a través del conocimiento de:

• Los riesgos propios del sector de actividad de la organización, que se pueden recabar a través de informes sectoriales o por organizaciones públicas y no gubernamentales.
• El riesgo propio derivado de la estructura y tamaño de la empresa.
• El riesgo normativo del país de la matriz y de las filiales.
• El riesgo geográfico de los países en los que opera.
• El riesgo de participar con terceros, proveedores, socios…
• El riesgo por la naturaleza de las transacciones comerciales de la organización.

Análisis de los riesgos

Para analizar el riesgo, antes debe delimitarse el concepto mismo de riesgo. Si se establece como riesgo la comisión del hecho tipificado penalmente; por ejemplo, la acción de evadir el pago de impuestos por encima de 120.000 euros en el caso del delito fiscal, la eficacia del modelo de prevención será escasa ya que no podrá actuar ante la aparición de banderas rojas (señales de incumplimiento) previas a la comisión del delito.

En muchos casos, los delitos tienen homólogos más leves y amplios en el derecho administrativo, como es el caso del ejemplo, que permiten definir el riesgo fiscal de una forma más amplia y anticipada. En otros delitos, como la insolvencia punible, no existe referente administrativo, por lo que el riesgo debe identificarse con el valor o bien jurídico que la norma penal pretende cubrir. En el caso de la insolvencia punible se protege el derecho de los acreedores o inversores y terceros, por lo que el riesgo se situaría en las propias transmisiones de activos entre empresas vinculadas, por ejemplo.

Del análisis genérico del riesgo se pasa al análisis concreto de actividades o, si se prefiere al análisis interno para lo cual, al menos, deberá tenerse en cuenta:

• El historial de infracciones de la empresa y de sus miembros en la ejecución de la actividad empresarial, no sólo en la comisión de delitos, sino en infracciones administrativas, laborales, demandas civiles e incluso opiniones o quejas comunicadas a la empresa o vertidas en redes sociales. La existencia de demandas civiles por infracción de propiedad industrial, por ejemplo, da indicios de un riesgo de delito contra la propiedad industrial, pero además evidencia que la empresa dedica pocos recursos a la investigación y desarrollo, con el consiguiente riesgo de que el equipo comercial, ante la baja competitividad, recurra a malas prácticas de corrupción pública o privada para obtener resultados.
• El organigrama de la empresa, con el fin de definir claramente las responsabilidades y obligaciones de cada departamento sobre el que debe realizarse el análisis de riesgo. En estructuras poco organizadas o excesivamente jerarquizadas, no se delimitan las tomas de decisiones o las decisiones de responsables intermedios quedan anuladas por superiores. En estos casos la deficiente organización amplía la probabilidad de riesgo por causas internas. Por ejemplo, si el ingeniero responsable de calidad carece de autonomía (sueldo bajo, poca preparación o desautorizado habitualmente) y sus informes de calidad no son tenidos en cuenta, el riesgo de daños por producto defectuoso aumenta.
• Los procedimientos de actuación ya establecidos por la empresa o aquellos que se realizan al margen del procedimiento establecido por desidia o falta de controles. En ocasiones la costumbre o hacer las cosas “como siempre se han hecho”, no se detecta hasta que no se analiza con profundidad la organización. En este sentido, el analista debe estar atento ya que buena parte de los delitos en la empresa se cometen a través de lo que se conoce en derecho penal como autoría mediata (aquél que utiliza a un tercero para la comisión de un delito), de modo que la persona que ejecuta los actos propios del hecho delictivo ejecuta una acción que le ha sido ordenada sin conocer la verdadera dimensión de sus actos.
• El análisis tendrá en cuenta los controles ya establecidos y su eficacia. En este caso, aquellos controles que no estén documentados o que no han sido verificados no pueden ser tenidos en cuenta.

El análisis del riesgo se puede hacer por departamentos atendiendo en una primera aproximación a los riesgos que son propios de la actividad del departamento para alcanzar un nivel más profundo mediante la realización de entrevistas, test, o fórmulas similares de obtener información exhaustiva. En esta parte final es especialmente relevante la intervención del analista que es conveniente, como se ha dicho al principio, que conozca las dinámicas delictivas para incidir en aquellos aspectos de riesgo que la propia organización no es capaz de ver. La opinión de los responsables altos o medios, también aporta una valiosa información.

En el análisis del riesgo se establece la diferencia entre riesgo inherente y riesgo residual. El riesgo inherente es el que existiría si la empresa no aplica ninguna medida de prevención. El riesgo residual es el resultado de descontar el efecto de las medidas de prevención al riesgo inherente. En organizaciones de baja cultura de cumplimiento es preferible prescindir del riesgo inherente. En las empresas con modelos de compliance desarrollados es conveniente medir de alguna forma ambos parámetros con la finalidad de avanzar y mejorar en el modelo, siempre y cuando se acredite que los controles son eficaces.

Cómo se ha dicho al principio, el objetivo de elaborar un mapa de riesgos es tener un documento que permita guiar la eficacia de las medidas de prevención dedicando mayores esfuerzos a los riesgos más graves. Por ello, la elaboración del mapa exige que se determine la prioridad de actuación sobre los riesgos detectados. De nuevo, la metodología es variada y cada organización debe elegir la más apropiada. Se pueden tener en cuenta diversos factores (algunos de ellos ineludibles):

• La probabilidad de que el riesgo se materialice es un elemento inexcusable de la evaluación.
• Impacto para la propia organización desde el punto de vista económico, consistente en el perjuicio que la empresa puede sufrir si se detecta el delito. Por ejemplo, para una empresa de energías renovables el impacto de una pena de prohibición de recibir subvenciones es muy alto.
• Impacto desde el punto de vista reputacional. Especialmente relevante para empresas con mucha visibilidad en redes sociales, por ejemplo.
• La importancia del valor o bien jurídico protegido por la norma penal. Es obvio que valores como la vida humana o la salud son prioritarios a otros como los derechos de propiedad intelectual.

La realización de una tabla o gráfica combinando los factores más relevantes para la empresa, por ejemplo, probabilidad e importancia para la sociedad del valor protegido, dará un listado de prioridades que puede establecerse por numeración, valores de importancia siguiendo el criterio más razonable.

Este es un trabajo, dinámico no estático, por lo que se debe revisar regularmente ya que tanto la organización, como la normativa varían y porque conforme la organización madura en cumplimiento, la percepción del riesgo también madura.