Todas las entradas de Maria Lafuente

Identificación de riesgos: BRAIN STORMING

facebooktwittergoogle_pluslinkedinby feather

2.identificacion_riesgos

Para analizar y atajar los riesgos existentes en una organización, es necesario comenzar por el análisis del contexto en que dicha organización desarrolla su actividad, así como los riesgos inherentes de la misma en función de su actividad.

En la realización de dicho estudio, hay que tener en cuenta el tamaño y estructura de la empresa cuyos riesgos hemos de analizar, pues de nada vale contar con una metodología de identificación de riesgos demasiado compleja que no se adapte al tamaño y circunstancias de la empresa en cuestión ya que, como se suele decir, los procesos complejos mueren de éxito.

Debemos empezar, como decía, por el contexto en el que opera la empresa, analizando y comprendiendo todos los factores internos y externos que impactan en su actividad.

Es imprescindible conocer y comprender bien su actividad, el sector al que pertenece, los productos o servicios que ofrece, los canales de distribución de los mismos y los países o áreas geográficas en que opera.

También es importante mirar hacia las partes interesadas o “stakeholders“, esto es, los accionistas, socios y empleados en el plano interno y los clientes, proveedores y demás socios de negocio en el plano externo.

De nada valdría un sistema de Compliance que se aplica a la perfección a nivel interno sin implicar en ese compromiso de cumplimiento a los terceros con quienes establecemos relaciones profesionales.

En relación con la Administración Pública, se debe proceder a estudiar el cumplimiento existente sobre las exigencias a nivel administrativo, como puede ser el estado de las licencias que sean pertinentes en el ejercicio de la actividad de la empresa, de ser el caso, los contratos con organismos públicos o la gestión en la tramitación de ayudas o subvenciones, etc.

Mirando hacia dentro, hay que tener en cuenta el funcionamiento de la organización. Esto es, conocer su forma jurídica, la composición de la administración de la empresa, las relaciones con la empresa matriz en el caso de tratarse de un holding o grupo empresarial, etc.

Así mismo, hay que conocer todos los procesos operativos de la empresa, la división de las tareas, la autonomía existente entre sus miembros, y la gestión de los flujos económicos de la empresa, etc.

No debemos olvidar que siempre van a existir una serie de riesgos inherentes a la actividad de la empresa, como puede ser por ejemplo una empresa cuya actividad genera impacto medioambiental o que se mantiene en un porcentaje muy alto a través de contratos con las Administraciones Públicas.

El siguiente paso en la identificación de los riesgos será el conocimiento del entorno regulatorio de la empresa.

Por un lado, hay que tener en cuenta las obligaciones legales o de “hard law” que vinculan a la empresa en función de su actividad o ámbito de actuación, tanto a nivel local, como nacional e internacional y analizar los mecanismos con que cuenta la empresa para conocer y aplicar correctamente la normativa.

Por otro, nos encontramos con la política de empresa o lo que se conoce como “soft law”. En este sentido se analizarán las herramientas con que la empresa cuenta a nivel interno para su buen funcionamiento y el cumplimiento de la ley.  Se valorará la existencia de mecanismos para que los empleados puedan denunciar cualquier irregularidad o de protocolos de gestión ante conflictos de intereses internos, la separación de las funciones en la empresa, si cuenta con un Código de conducta, etc.

En definitiva, es muy importante obtener una visión global y detallada de la compañía para poder establecer los mecanismos o protocolos de actuación necesarios para cualquier escenario que pueda producirse en la empresa y evitar las consecuencias y el impacto que ello tendría para la empresa, con las correspondientes pérdidas económicas o reputacionales.

Por supuesto, para que dicho análisis resulte eficaz es imprescindible que el compromiso de autorevisión interna provenga de la directiva de la empresa, y que exista en la misma la firme convicción de la importancia de cualquier proceso de análisis y autocrítica a nivel empresarial, como clave de éxito y buen gobierno corporativo.

Alma Antón
Especialista en Responsabilidad Penal de la Empresa.
@tederabogados

Puedes leer más sobre Compliance Corporate en artículo anterior: El deber de control interno y la responsabilidad del Compliance Officer

 ¿Quieres realizar alguna consulta sobre Compliance Corporate?

facebooktwittergoogle_pluslinkedinby feather

El deber de control interno y la responsabilidad de COMPLIANCE OFFICER

facebooktwittergoogle_pluslinkedinby feather

 

El art. 31 bis, que instaura por primera vez en nuestra legislación la responsabilidad penal de las personas jurídicas, establece en su apartado segundo el deber de control interno por parte de las organizaciones con personalidad jurídica, que deben adoptar medidas para la prevención y detección de delitos en su seno.

CONTROL_INTERNO

Dicho deber de control interno, se materializa en un órgano, unipersonal o colegiado, que asume las funciones de prevención, lo que por su procedencia anglosajona se ha venido denominando “Compliance Officer”.

Sin embargo, el Código Penal no regula específicamente esta figura, lo que provoca cierta incertidumbre tanto en los expertos en la materia, como en los propios empleados que asumen ese rol dentro de la organización, y que a menudo trae de la mano la siguiente pregunta:

¿Qué consecuencias jurídico-penales puede tener el incumplimiento del deber de prevención y control?

Tras estudiar las distintas opiniones e interpretaciones que se están emitiendo por la doctrina y por juristas de muy diversos ámbitos, la conclusión es que siempre se ha de tener en cuenta un punto de partida inicial, y es que el empresario es, en todo caso, quien tiene la posición de garante, debiendo velar porque en el desarrollo de la actividad empresarial no se lesionen bienes jurídicos ajenos.

Partiendo de ésta premisa, lo que se produciría en el caso del Compliance Officer, es una delegación de dicho deber se supervisión, en lo que a la prevención penal se refiere, lo cual no extingue ni mucho menos la posición de garante del empresario, sino que en cierta medida la modifica.

Esto es, el deber de control interno del empresario se convierte en deber de supervisión y vigilancia sobre la labor del Oficial de Cumplimiento, debiendo dotarle de las herramientas y recursos necesarios para el desarrollo de sus funciones.

Una vez sentadas las bases anteriores, esto es, que el empresario no extingue su labor de garante por la delegación de la misma en la figura del Compliance Officer, habrá que analizar el caso concreto para definir la responsabilidad que éste puede tener en la comisión de un acto delictivo.

Pese al deber de prevención, detección y control que asume esta figura, con funciones que abarcan desde la correcta difusión del Plan de Prevención de delitos, la formación de los trabajadores, hasta la instrucción de posibles irregularidades y la imposición de sanciones, no resulta tarea fácil probar que la omisión o la ejecución negligente de sus funciones sea la causa directa de la comisión de un hecho delictivo en la empresa.

El escenario que puede uno imaginarse es la participación del Compliance Officer en la comisión de un delito por omisión de sus funciones, cuando dicha omisión esté directamente relacionada con el resultado lesivo. No obstante, tendría que probarse en tal caso la intencionalidad de éste en permitir o favorecer la comisión de un hecho delictivo.

Por tanto, cabe concluir que aunque existe delegación de la empresa en el Compliance Officer de la prevención y control en el ámbito penal, ello no supone que se exima el empresario de su posición de garante, no pudiendo exigirse al empleado que asuma esta labor responsabilidad penal alguna por la comisión de un delito en la empresa, salvo que se trata de una omisión dolosa en sus funciones con la expresa intención de permitir o favorecer la comisión de un hecho delictivo.

Alma Antón

 ¿Quieres realizar alguna consulta sobre Compliance Corporate?

facebooktwittergoogle_pluslinkedinby feather