PECADOS DE LOS MODELOS DE COMPLIANCE – 3: LA EVALUACIÓN DE RIESGOS

La evaluación de riesgos es sin duda la actividad más importante en un modelo de compliance.

Me estoy encontrando con bastantes modelos que, bajo mi punto de vista, no realizan correctamente la evaluación (la mayoría de las veces motivado por no disponer de los recursos (tiempo y dinero) necesarios para hacerlo correctamente) y me gustaría dar algunas premisas prácticas que creo deberían cumplirse, sobre todo si se desea certificar el modelo bajo la UNE 19601:

  1. Aunque se entreguen formalmente en un Word o pdf, deben de estar soportados en un Excel que permita recoger el detalle de todas las variables de la evaluación. Además, esto facilitará notablemente la futura revisión obligatoria.
  2. Deben de identificar y analizar todos los delitos penados y todos sus tipos de comisión para demostrar que se ha realizado un análisis exhaustivo, aunque luego, muchos de ellos se desestimen por carecer de una mínima probabilidad de ocurrencia.
  3. Conviene incluir, no solo los delitos en los que se pueda dar responsabilidad penal para la empresa (famoso artículo 31Bis), sino también, aquellos delitos en los que la empresa puede sufrir sanciones accesorias (artículo 129), por ejemplo delitos contra los derechos de los trabajadores.
  4. Para cada delito (cuando digo delito me refiero tipo de comisión), deben de figurar las personas, proyectos, negocios, procesos o áreas (internas) de la empresa responsables/involucrados así como los posibles socios de negocio (externos) si estos fueran los involucrados en el delito. Por ejemplo empresas en las que se deleguen funciones importantes: contabilidad, impuestos, nóminas, informática, etc…
  5. Conviene asimismo, concretar y explicar, la circunstancia concreta de la empresa en la que podría darse el delito. Esto además de facilitar su futuro control, es un claro exponente de que la evaluación se ha hecho muy a medida.
  6. En el análisis hay que detallar los controles, procedimientos y en general mecanismos de los que la empresa ya dispone para prevenir cada delito. Por ejemplo, protocolos de firma en los pagos, certificaciones de calidad y seguridad, cláusulas contractuales de diligencia debida, etc. Esto es esencial para valorar correctamente el riesgo neto o residual, que es el que debe dar lugar o no a nuevas acciones de mitigación.
  7. Para mi, aunque la valoración de impacto posible es necesaria, no debe de tener mucho peso en la valoración (no más del 20-15%), primero porque tratamos de hipótesis en los que no se puede valorar exactamente la dimensión del delito, y porque, siendo estrictos con el objetivo final del modelo, el fin es implantar una cultura de cumplimiento, no prepararnos para provisionar sanciones.
  8. La metodología de valoración deberá ser lo más objetiva posible, pero siempre hay que ajustarla lo que sea necesario para acoger especificidades que se salgan de la norma y que apliquen al caso concreto. En todo caso, las valoraciones deben de estar justificadas.
  9. Una vez valorados todos los riesgos analizados, se deberán de planificar nuevas medidas de prevención y control que mitiguen aquellos de nivel superior a bajo. Yo diría que además, incluso en los de nivel bajo, hay que marcar aquellos que su valoración final sea debida a la existencia de controles preventivos pero que la probabilidad de ocurrencia sea alta, porque esos controles hay que vigilarlos mucho más de cerca.
  10. Finalmente, recordar que una vez hecho esto y lanzado el plan de medidas de actuación, al menos una vez al año, conviene revisar la evolución del mapa de riesgos, a medida que vamos implantando los nuevos controles que harán bajar el riesgo neto. Esta revisión será realizada por el órgano de compliance e incluida en sus informes.

 

Anuncios

Comenta!

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s