Mapa de riesgos compliance

 

Como expertos en consultoría compliance, desde Grupo Adaptalia, definimos qué es el mapa de riesgos compliance o risk assesment y cómo se elabora.

 

Es conocida la importancia de que la persona jurídica tenga implantado un modelo de compliance penal que cumpla con los requisitos del artículo 31 bis del Código Penal. Tanto para prevenir la comisión de delitos, como para el supuesto de que se cometan delitos en nombre o por cuenta de la sociedad y en su beneficio directo o indirecto. Contando con un modelo de compliance penal, la sociedad queda exonerada de responsabilidad penal. (Le recordamos nuestro artículo al respecto: Compliance Penal, ¿Debe tener mi empresa un programa de compliance?)

 

Por ello, desde Grupo Adaptalia, hacemos especial hincapié en la necesidad de que la sociedad haya elaborado un mapa de riesgos Compliance Penal, para que pueda demostrar el cumplimiento del primer requisito establecido en el artículo 31 bis. 5 correspondiente. Es decir, un modelo de cumplimiento “que identifique las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”.

 

Concretamente, para cumplir con el requisito anteriormente citado, deberá elaborar un mapa de riesgos compliance o risk assesment, cuya función es la de analizar y evaluar el riesgo de comisión de delitos en el seno de una organización.

Por tanto, En este artículo explicaremos qué es un mapa de riesgos compliance y cómo se elabora, empezando por analizar qué se entiende por riesgo en compliance.

 

1.    ¿Qué se entiende por riesgo en compliance y riesgo penal ?

 

El documento “Compliance and the Compliance function in Banks” publicado por el Comité de Basilea en el año 2005, recoge una definición del riesgo de Compliance que se puede resumir en lo siguiente:

“El riesgo de compliance es el riesgo de que una organización pueda sufrir multas, sanciones, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad”.

 

Cabe señalar que, aunque el citado documento esté específicamente dirigido a los bancos, sus definiciones y principios son aplicables a la función de compliance de cualquier tipo de organización.

 

Por tanto, en todas las organizaciones, el riesgo de compliance va unido no sólo al posible incumplimiento de leyes, sino también a la vulneración de las normas de conducta que llevan a una organización a comportarse de una forma poco ética o poco íntegra.

 

En cambio, el riesgo penal se relaciona con el desarrollo de conductas que pudieran ser constitutivas de delitos, según el régimen de responsabilidad de las personas jurídicas establecidas en el Código Penal.

 

2.    ¿Qué debe tener en cuenta la sociedad antes de realizar una matriz de riesgo adaptada a su asociación?

 

Tomando como referencia la norma UNE-ISO 3100 sobre gestión de riesgos, antes de entrar a identificar, analizar y evaluar los riesgos, hay que conocer muy bien la organización y su contexto.

 

En concreto, de acuerdo con la norma UNE 19601:2017 de sistemas de gestión de Compliance Penal, para conocer el contexto de la organización, debemos tener en cuenta los siguientes elementos:

  • Dimensión.
  • Ubicación.
  • Sector.
  • Actividad.
  • Entidades sobre las que se ejerce control.
  • Miembros de la organización y socios de negocio.
  • Relaciones con funcionarios públicos.
  • Relaciones jurídicas o contractuales con terceros.

 

mapa de riesgos en compliance

Para realizar un mapa de riesgos compliance hay que conocer el contexto de la sociedad.

 

 

3.    Identificación de los riesgos

 

Tras haber analizado el contexto de la organización, se debe pasar a realizar la identificación de los riesgos de Compliance, es decir, el listado de los acontecimientos o de los escenarios, que en caso de que sucedieran, podrían dar lugar, a la comisión de delitos.

 

La identificación de los riesgos, debe hacerse en base al conocimiento que se tiene de la organización, pero también a través de la comunicación con las partes interesadas, internas y externas. Así como de los resultados de las revisiones, monitorizaciones o auditorías y las reclamaciones de los clientes o las denuncias recibidas por el canal de denuncias.

 

 

4.    ¿Qué metodología se empleará para la elaboración del mapa de riesgos compliance?

 

La metodología es variada y cada organización debe elegir la más apropiada. Aún así, las organizaciones deben tener en cuenta los siguientes factores:

 

  • La probabilidad de que el riesgo se materialice
  • Impacto para la empresa desde el punto de vista económico y reputacional, incluso para la propia existencia y viabilidad de la persona jurídica, en el caso de que se detecte el delito

 

Se realizará una tabla o gráfica combinando dichos factores, de forma que se estimará la probabilidad de que se produzca un delito y el mayor o menor impacto que produciría en la organización.

5.    En definitiva, ¿cuál es el objetivo del mapa de riesgos compliance?

 

El objetivo, además del cumplimiento de los requisitos establecidos en el artículo 31 bis del Código Penal, es tener un documento que permita guiar la eficacia de las medidas de prevención dedicando mayores esfuerzos a los riesgos más graves. Por ello, en Grupo Adaptalia realizamos mapa de riesgos Compliance Penal y posteriormente, dado que las circunstancias de las empresas e incluso la normativa pueden variar, analizamos el nivel de adecuación de dichos mapas de riesgos al riesgo penal existente en la compañía. Cualquier pregunta que pueda surgirle al respecto, no dude en consultarnos.