Para analizar y atajar los riesgos existentes en una organización, es necesario comenzar por el análisis del contexto en que dicha organización desarrolla su actividad, así como los riesgos inherentes de la misma en función de su actividad.
En la realización de dicho estudio, hay que tener en cuenta el tamaño y estructura de la empresa cuyos riesgos hemos de analizar, pues de nada vale contar con una metodología de identificación de riesgos demasiado compleja que no se adapte al tamaño y circunstancias de la empresa en cuestión ya que, como se suele decir, los procesos complejos mueren de éxito.
Debemos empezar, como decía, por el contexto en el que opera la empresa, analizando y comprendiendo todos los factores internos y externos que impactan en su actividad.
Es imprescindible conocer y comprender bien su actividad, el sector al que pertenece, los productos o servicios que ofrece, los canales de distribución de los mismos y los países o áreas geográficas en que opera.
También es importante mirar hacia las partes interesadas o “stakeholders“, esto es, los accionistas, socios y empleados en el plano interno y los clientes, proveedores y demás socios de negocio en el plano externo.
De nada valdría un sistema de Compliance que se aplica a la perfección a nivel interno sin implicar en ese compromiso de cumplimiento a los terceros con quienes establecemos relaciones profesionales.
En relación con la Administración Pública, se debe proceder a estudiar el cumplimiento existente sobre las exigencias a nivel administrativo, como puede ser el estado de las licencias que sean pertinentes en el ejercicio de la actividad de la empresa, de ser el caso, los contratos con organismos públicos o la gestión en la tramitación de ayudas o subvenciones, etc.
Mirando hacia dentro, hay que tener en cuenta el funcionamiento de la organización. Esto es, conocer su forma jurídica, la composición de la administración de la empresa, las relaciones con la empresa matriz en el caso de tratarse de un holding o grupo empresarial, etc.
Así mismo, hay que conocer todos los procesos operativos de la empresa, la división de las tareas, la autonomía existente entre sus miembros, y la gestión de los flujos económicos de la empresa, etc.
No debemos olvidar que siempre van a existir una serie de riesgos inherentes a la actividad de la empresa, como puede ser por ejemplo una empresa cuya actividad genera impacto medioambiental o que se mantiene en un porcentaje muy alto a través de contratos con las Administraciones Públicas.
El siguiente paso en la identificación de los riesgos será el conocimiento del entorno regulatorio de la empresa.
Por un lado, hay que tener en cuenta las obligaciones legales o de “hard law” que vinculan a la empresa en función de su actividad o ámbito de actuación, tanto a nivel local, como nacional e internacional y analizar los mecanismos con que cuenta la empresa para conocer y aplicar correctamente la normativa.
Por otro, nos encontramos con la política de empresa o lo que se conoce como “soft law”. En este sentido se analizarán las herramientas con que la empresa cuenta a nivel interno para su buen funcionamiento y el cumplimiento de la ley. Se valorará la existencia de mecanismos para que los empleados puedan denunciar cualquier irregularidad o de protocolos de gestión ante conflictos de intereses internos, la separación de las funciones en la empresa, si cuenta con un Código de conducta, etc.
En definitiva, es muy importante obtener una visión global y detallada de la compañía para poder establecer los mecanismos o protocolos de actuación necesarios para cualquier escenario que pueda producirse en la empresa y evitar las consecuencias y el impacto que ello tendría para la empresa, con las correspondientes pérdidas económicas o reputacionales.
Por supuesto, para que dicho análisis resulte eficaz es imprescindible que el compromiso de autorevisión interna provenga de la directiva de la empresa, y que exista en la misma la firme convicción de la importancia de cualquier proceso de análisis y autocrítica a nivel empresarial, como clave de éxito y buen gobierno corporativo.
Alma Antón
Especialista en Responsabilidad Penal de la Empresa.
@tederabogados
Puedes leer más sobre Compliance Corporate en artículo anterior: El deber de control interno y la responsabilidad del Compliance Officer
¿Quieres realizar alguna consulta sobre Compliance Corporate?