Como tercera entrega del conjunto de artículos relativo a los elementos esenciales que deben conformar todo buen Sistema de Gestión de Compliance (SGC), merece la pena detenernos en este momento en la Identificación y Análisis de Riesgos, consecuencia directa del Contexto elaborado con anterioridad. Si bien ese paso previo podría identificarse en términos médicos con la anamnesis o exploración clínica, en estos momentos nos hallaríamos en la fase de diagnóstico.
El objetivo de la identificación del riesgo es conocer los sucesos que se pueden producir en la organización y las consecuencias que puedan tener sobre sus objetivos. Como parte de la información documentada del SGC, acreditará que la organización ha llevado a cabo un análisis pormenorizado de sí misma y ha tenido en cuenta los factores más acordes a sus características a fin de determinar qué problemas merecen su atención inmediata, cuáles pueden atenderse en el futuro y finalmente cuáles se asumirán sin más debido a su relativa irrelevancia.
Si en el futuro se materializa un riesgo, permitirá justificar las decisiones que se tomaron con respecto al mismo, y si éstas fueron razonables o no. En consecuencia, puede convertirse en una pieza fundamental para la exoneración o atenuación de la responsabilidad penal de la organización.
Para poder dar cumplimiento a lo anterior, la identificación de riesgos debe ser el resultado directo de la aplicación de valores medibles sobre la información obtenida a través del Contexto, de ahí la importancia que su contenido sea lo más fidedigno posible.
Por lo tanto, antes de nada deberá decidirse cómo canalizar esa información, cómo interpretarla a fin de obtener un resultado objetivo, y para ello el paso previo será determinar la metodología de análisis, los valores y mediciones que se utilizarán.
En cuanto a las metodologías, existan diversas y todas pueden ser igual de válidas y útiles, aunque dependiendo de la materia y objeto del análisis, unas pueden ser más orgánicas que otras. Así, las más populares son el análisis por activos y el análisis por procesos.
En sede de un SGC Penal, que buscará eminentemente prevenir conductas delictivas, lo más lógico es que el análisis se lleve a cabo a partir de los procesos de la organización, y no de sus activos; esta segunda metodología quizás respondería a Sistemas con objetivos distintos, como pueda ser la Ciberseguridad, pues en dicho caso si resultaría más lógico conocer los riesgos que se derivan de cada uno de los componentes (Servidores, routers, equipos individuales, etc.).
En todo análisis de riesgo se ha venido utilizando la fórmula siguiente:
RIESGO = PROBABILIDAD * IMPACTO
En consecuencia, “probabilidad” e “impacto” serán las dos incógnitas que deberán despejarse, y para ello deberán aplicárseles valores a través de los cuales obtener un resultado medible. Estas escalas de valores pueden ser numéricas (por ejemplo de 1 a 10, siendo 1 ‘muy bajo’ y 10 ‘muy alto’) o directamente conceptuales (por ejemplo, remoto – muy bajo – bajo – medio – alto – muy alto – crítico). Más allá de resultar más o menos cómodas al responsable del análisis de los riesgos, lo importante es que sean lo suficientemente flexibles como para abarcar todas las realidades de la organización.
Centrándonos en el análisis por procesos, y siempre desde el ejemplo de un SGC Penal, la probabilidad deberá obtenerse en relación a cada una de las actividades que desarrollan los distintos departamentos de la organización. Cada uno de dichos procesos deberá valorarse en función de sus características (por ejemplo, relevancia del proceso en el desarrollo de la actividad de la organización, el número de personas que participan en el mismo, la existencia de incidencias en el pasado, etc.). A su vez, deberá tenerse en cuenta la probabilidad de comisión de cada uno de los ilícitos en relación a la propia actividad y sector de la organización (por ejemplo, en una organización cuya actividad se desarrolle en fábricas, la probabilidad de comisión de delitos contra el medio ambiente será mayor; lo mismo ocurrirá en una organización dedicada al transporte de mercancías con respecto al delito de contrabando). Así, entre las características del propio proceso y las del delito concreto en relación a la organización determinaremos finalmente la Probabilidad.
El impacto debe medirse de otro modo. Su valor dependerá no solo de las consecuencias legales derivadas del Código Penal, cuyas penas varían desde una mayor o menor sanción económica hasta la propia extinción de la Sociedad; también deberá tenerse en cuenta el daño reputacional y todo lo que ello conlleva: Por ejemplo, la materialización de un riesgo concreto puede resultar inocuo de cara a la clientela, pero puede suponer la pérdida de un proveedor esencial o de la posibilidad de participar en una licitación futura; por el contrario, puede tener un efecto catastrófico frente al público general a pesar de no haber afectado a ninguna otra parte interesada. Dependiendo de la actividad de cada organización, los resultados podrán variar enormemente, y como seguramente se intuirá a estas alturas, las consecuencias paralegales pueden ser críticas con independencia de una eventual sanción penal leve. Así, con la combinación de estos dos factores obtendremos el impacto de cada uno de los riesgos.
De la puesta en común de Probabilidad e Impacto resultará el Riesgo, y éste deberá ser corregido con los controles, los preexistentes y los que se propongan para reducirlo hasta el nivel de riesgo que la organización está dispuesta a asumir, y que por lo complejo de la materia trataremos con más detalle en un artículo independiente.
Como podrá comprobarse, la identificación y análisis de riesgos es una parte fundamental del SGC, de contenido esencialmente técnico. Cuanto más trabajado, mayor será su adaptabilidad y capacidad de evolución en el futuro, factor imprescindible pues como ya hemos dicho en otras ocasiones el SGC está vivo y debe ser revisado periódicamente.