Todo Programa o Sistema de Compliance está compuesto por un conjunto de elementos que suelen estar siempre presentes con independencia del objeto o el alcance del Programa o Sistema en cuestión. Hablamos, por ejemplo, de elementos como disponer de un órgano o responsable interno de Compliance, un mecanismo de comunicación interno, formación, etcétera.
Entre estos elementos innegociables, encontramos el informe y el mapa de riesgos penales. Ahora bien, lo cierto es que, en atención al objeto y al alcance concreto del Programa o Sistema de Compliance, el informe y mapa de riesgos puede ampliarse más allá de los riesgos penales, incorporando también otros riesgos de Compliance (tax; blanqueo de capitales; medio ambiente; entre otros).
El artículo 31 bis 5.1 del Código Penal requiere que los Programas o Sistemas de Compliance cuenten con una evaluación de los riesgos penales: “Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”. Por su parte, la sección 4.6 de la ISO 37301 de Sistemas de gestión de Compliance y la sección 6.2 de la UNE 19601 de Sistemas de gestión de Compliance penal también exigen la identificación y evaluación de los riesgos.
¿En qué consiste la elaboración de un informe y mapa de riesgos penales? De forma muy resumida, elaborar un informe y un mapa de riesgos penales consiste en analizar las actividades, la estructura organizativa y las relaciones con terceros, esto es, el ecosistema de una determinada organización, con el objetivo de detectar y priorizar, a través de una evaluación, cuáles son los riesgos penales a los que se expone una determinada organización por sus concretas actividades.
Ello resulta muy importante, pues la evaluación y priorización de los riesgos penales va a marcar el posterior desarrollo e implementación del Programa o Sistema de Compliance. En consecuencia, no puede hacerse un análisis etéreo o copiar el informe y el mapa de un tercero, en tanto cada organización se enfrenta a sus propios riesgos penales. Por ejemplo, nada tiene que ver los riesgos penales de una empresa constructora de los de una empresa del sector farmacéutico. Incluso entre organizaciones del mismo sector el informe y el mapa de riesgos puede diferir notablemente según la dependencia de la contratación pública, los países en los que se opere, la cadena de suministro, etcétera.
¿Cuándo debe elaborarse el informe y el mapa de riesgos penales? Generalmente, tiene lugar durante las fases iniciales de diseño del Programa o Sistema de Compliance, en tanto permite realizar un estudio en profundidad de las actividades y la estructura organizativa de la organización. Además, la adopción de políticas, procedimientos y otros mecanismos de control debe realizarse sobre la base de los riesgos detectados, especialmente en aquellos riesgos valorados con una mayor criticidad.
Sin embargo, el informe y el mapa de riesgos penales debe estar vigente en todo momento, por lo que deberá ser revisado de forma periódica y se deberá actualizar debidamente cuando existan motivos internos o externos que puedan provocar un cambio en la identificación o la valoración de los riesgos penales. Por ejemplo, el lanzamiento de una nueva línea de negocio, la adquisición de una empresa, cambios en la legislación aplicable, sanciones o incumplimientos relevantes, entre otros motivos.
De este modo, el informe y el mapa de riesgos penales se configura como un elemento clave en todo Programa o Sistema de Compliance, que debe tener lugar en un estadio inicial de su diseño y que debe revisarse y actualizarse adecuadamente.
Departamento de Compliance de Molins Defensa Penal.
