1. Definición y Enfoque del Análisis
A Primera vista si tratamos el tema del análisis de riesgos, nos encontramos con los principales targets de esto que serían entidades financieras, como bancos cajas, … Pero desde las modificaciones que reformaron el Código Penal en 2010 y 2015, cada vez cobra mayor importancia analizar la empresa entorno a sus riesgos penales, dichos riesgos que pueden estar entrelazados con los riesgos financieros, pero en este caso llegando a poder ser condenada la persona jurídica sus administradores y/o directivos, entre otros.
El fundamento principal que expone el legislador en relación con el cumplimiento normativo es un análisis de riesgos previo a la implantación de las políticas, normas y protocolos que sean necesarios con tal de documentar que el funcionamiento de la sociedad está acorde a la legalidad vigente.
Por todo ello, un correcto análisis de riesgo es la piedra fundamental para poder mantener un adecuado y eficaz sistema de compliance en la empresa, así como el análisis de riesgos financieros también es fundamental y necesario a la hora de poder tener una monitorización y control de estos de la manera más fiel posible.
2. Ámbito Pyme
En el ámbito mercantil se cree erróneamente que el mero hecho de no ser una gran cuenta no obliga a una persona jurídica de mediano o pequeño tamaño a ser sujeto de un análisis de riesgos internos con objeto de contemplar la situación en la que se encuentran e incrementar el control que existe en la sociedad hasta el momento.
De hecho, sabemos que el ámbito empresarial de la pyme, estructuralmente es menor al de las grandes cuentas, pero puede llegar a ser mucho más complejo que estas, debido a la falta de estructural piramidal, al reparto de responsabilidades sin diferenciar diferentes niveles en la empresa, o trabajando varios departamentos por la misma persona. Este el unos de los motivos mas trascendentales de riesgo que puede mantener una pyme.
Por todo y por ello sabemos que las Pymes se encuentran en todos los mercados actuales, y con todos los objetos sociales habidos y por haber. Esto es debido a que toda empresa que termine convirtiéndose en una gran cuenta ha debido de empezar siendo una pyme, o es el resultado de un proceso de M&A entre varias pymes. Por ello deben de concienciarse estas de la necesidad de estructurar una defensa interna de las mismas y controlar los posibles riesgos que puedan presentar.
3. Riesgos Inherentes
Todo riesgo inherente a una sociedad mercantil, asociación sin ánimo de lucro o fundación es aquel riesgo que independientemente del equipo de trabajo que tenga la persona jurídica y el buen hacer o la diligencia de estos, e independientemente del factor humano, mantiene la persona jurídica única y exclusivamente por constituirse bajo un determinado objeto social.
Todo riesgo inherente es sujeto de ser reducido con objeto de conseguir evitar males mayores, por no haberlo controlado previamente, y además poder aprovechar un crecimiento de la persona jurídica, acorde a la legalidad vigente.
No debemos olvidarnos en el análisis de riesgos que ante determinados escenarios, el empresario elegirá erróneamente asumir un riesgo mayor debido a la posibilidad de obtener mayor beneficio que si actuase reduciendo el riesgo al máximo y por ende limitando ese beneficio que pueda obtener. La consecuencia de este hecho es que, en caso de incurrir en un ilícito al no haber puesto las medidas necesarias para paliar el riesgo, la condena por esa comisión pueda ser mucho mayor que el beneficio que reciba en un solo ejercicio, es decir, a corto plazo no es algo que el empresario se planteé, pero a largo plazo puede afectar en gran medida tanto a la sociedad como a sus administradores.
4. Priorización de riesgos
Todo riesgo inherente o real de una persona jurídica plantea un problema y por ende una decisión para poner solución a éste, afectando lo menos posible al desarrollo de la actividad de la persona jurídica. Pero las distintas administraciones que mantienen las distintas administraciones de las distintas personas jurídicas dentro de nuestro entorno mercantil priorizarán aquellos riesgos que ante ellos les supongan un mayor peligro. No podemos dejar de tener especial cuidado si somos una persona jurídica cuyo objeto social sea el mundo IT, en todos aquellos ilícitos relacionados con los daños informáticos y los derechos de filtración de información etc.
La interiorización de la conciencia del Compliance por parte de los empresarios que conlleva la necesidad de analizar los riesgos de la persona jurídica también lleva aparejado la necesidad de priorizar determinados riesgos sobre otros dentro de la persona jurídica ya que no podemos reducir el riesgo general de la persona jurídica con una sola actuación.
5. Propuesta de acciones de mitigación del riesgo
Ante estos riesgos, el legislador propone una serie de herramientas que recaen en la mano de los administradores, para poder mitigar el riesgo inherente y real que pueda crearse o que exista dentro de la persona jurídica. Estas herramientas dependen en gran medida de los recursos que el o los administradores quieran derivar.
Una de las principales herramientas que sirven tanto para identificar, como a posteriori, para mitigar los riesgos, sería el mapa de riesgos, donde podemos identificar los distintos niveles de riesgo y los distintos ilícitos que inherentemente pueden cometer las personas jurídicas con objeto de trabajar en contra de ellos y poder desarrollar su actividad acorde a la legalidad.
Junto al mapa de riesgos aparecen otra serie de herramientas para mitigar el riesgo, entre ellas encontramos el nombramiento del oficial de cumplimiento, órgano encargado de supervisar y controlar que el sistema de compliance funciona, un canal ético como herramienta de consulta y denuncia de determinados comportamientos que puedan ir en contra de la legalidad y los estatutos de la persona jurídica; junto a estas dos, otra de las herramientas es el manual de compliance, donde se recogen todas las políticas, protocolos y normas necesarias para mitigar el riesgo.
6. Seguimiento, Supervisión y control de las medidas
Para que todas estas medidas cobren una fuerte relevancia dentro de la persona jurídica y puedan mantener esa mitigación de riesgos deben de mantener un seguimiento y una supervisión de estos a través de informes de evaluación emitidos por el Oficial de Cumplimiento, con objeto de mantener los controles o actualizarlos en función de la necesidad de la persona jurídica.
Por ello en el análisis de riesgos, se debe de tener un control continuo y constante sobre los controles y las herramientas para que se mitigue ese riesgo inherente de la persona jurídica, que de modo contrario volverían a elevarse estos riesgos inherentes.