¿Como afectará la reforma del Código Penal a las organizaciones?

Esta semana tenemos el lujo de contar en nuestro blog con la participación, experiencia y expertise de José Ignacio Domínguez Hernández. 

José Ignacio es Corporate Governance Advisor con mas de 27 años de experiencia en diversos campos de la empresa privada, especializado en Auditoria Interna, Gestión de Riesgos, Gobierno Corporativo, Compliance y Corporate Defence.  Ha sido responsable de la implantación de Sistemas de Prevención y Respuesta ante Delitos de la Persona Jurídica en organizaciones del IBEX y además es Director de un seminario formativo sobre la Auditoría de los Riesgos Penales.

José Ignacio nos explica las consecuencias que podría tener para las empresas la reforma del Código Penal español que se está tramitando en el Parlamento y qué se puede hacer para mitigar este riesgo.

¿Cómo preparar a las organizaciones para enfrentarnos a la responsabilidad penal de la persona jurídica?

El 23 de diciembre de 2010 entró en vigor la Ley Orgánica 5/2010 por la que se modificaba el Código Penal. La principal novedad suponía la introducción  de una serie de delitos relativos a “la responsabilidad penal de las personas jurídicas”.

El  actual Proyecto de Ley de Reforma del Código Penal de 2013, introduce dos importantes novedades: 

1. El reconocimiento expreso de que un modelo de prevención adecuado puede ser considerado circunstancia eximente. 
2. La introducción de un nuevo delito por “incumplimiento del deber de vigilancia y control en personas jurídicas y empresas", dirigido “al representante legal o administrador de hecho o de derecho de cualquier persona jurídica o empresa“.

 ¿Qué implica la Reforma del Código Penal?

Esta reforma implica que, cuando se cometa un delito por los representantes legales, administradores en su nombre y en su provecho, o por un empleado de la empresa en el ejercicio de las actividades sociales, y en provecho de las mismas, si no se ha ejercido sobre éste un debido control, junto a la persona física, también se “sentará en el banquillo” la persona jurídica acusada como responsable penal.

Las multas y penas a las que puede verse sujetas son ciertamente muy importantes, entre las que se encuentran: multas pecuniarias, suspensión temporal de sus actividades, clausura temporal de sus locales y establecimientos, inhabilitación para obtener subvenciones, ayudas, incentivos públicos, o para contratar con las Administraciones públicas o, en último extremo, la pena de muerte de la empresa, es decir,  la disolución de la persona jurídica.

¿Cómo se pueden preparar las empresas?

¿Qué son los sistemas preventivos y de defensa corporativa?

La defensa corporativa representa el análisis preventivo de los riesgos penales que potencialmente pueden afectar a una persona jurídica, y entre sus objetivos se encuentra el realizar las oportunas recomendaciones para que la Compañía adopte medidas tendentes a minimizarlos, y por otro lado demostrar, si fuese necesario, que se ha implantado un sistema de control interno tendente a prevenir estas situaciones.

Dichas medidas se enmarcan en los sistemas de control interno y cumplimiento normativo de las organizaciones.

Ante un hipotético proceso por la comisión de un delito por un empleado en el ámbito de sus funciones, los sistemas de prevención y respuesta servirán para acreditar que la persona jurídica sí ha ejercido el debido control que le es exigible y, por lo tanto, se ampliarían las posibilidades de alcanzar una sentencia absolutoria.

En todo caso, estas medidas de control de los riesgos penales de las empresas cobran especial importancia al contemplar el actual anteproyecto penal, ya que, como comentábamos anteriormente, introduce una eximente específica aplicable a las personas jurídicas que hubieran establecido, antes del comienzo del juicio oral, medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurídica. Asimismo, el hecho de no disponer de esas medidas de control, puede ser, en sí mismo, constitutivo de delito.

Nuestra recomendación

El cambio legislativo hace necesario que las compañías lleven a cabo una revisión de los procesos, para verificar que cuentan con los mecanismos adecuados para evitar, de una manera razonable, que sus empleados y administradores cometan alguno de los delitos que contempla el Código Penal en vigor y, además, disponer de mecanismos que garanticen que ese cumplimiento  se produce de forma continuada en el tiempo.

No es suficiente con acreditar que se disponga de los mecanismos necesarios; habría que probar, además, que tal cumplimiento es continuado en el tiempo y que se actualiza periódicamente, para que tales medidas sean consideradas como atenuantes e, incluso, eximentes de la responsabilidad penal de la persona jurídica.

Por tanto, nuestra recomendación es la implantación de Sistemas de Prevención y Respuesta en las organizaciones, comenzando por un adecuado diagnóstico y análisis preventivo del riesgo penal que pudiera existir en la compañía, a los efectos de preparar un Plan de Acción que minimice los principales riesgos penales a los que la persona jurídica podría estar expuesta en España, a través de la actividad de sus directivos y empleados.

• La implantación de estos sistemas preventivos y de respuesta se llevarán a cabo con una metodología y fases adecuadas, y tendrán los siguientes objetivos:
• Identificación y documentación de los riesgos penales que potencialmente pueden afectar a la Compañía.
• Identificación de los procedimientos y controles mitigantes relacionados con los riesgos detectados en el punto anterior.
• Propuesta de recomendaciones al sistema de control existente.
• Elaboración de un Modelo de Prevención y Respuesta ante Delitos y protocolos de actuación, con un doble enfoque: recoger los controles y medidas preventivas, así como los canales de denuncia y respuesta ante la comisión de uno de los ilícitos contemplados en el nuevo Código Penal.

No olvidemos que la mejor defensa corporativa de las empresas ante los riesgos penales atribuidos a las mismas, es disponer que un eficaz Código Ético o de Conducta, actualizado para recoger los últimos cambios legislativos y que, además, dicho código haya sido convenientemente difundido y explicado en la Organización.

Recuerda que puedes acceder a nuestro brochure con nuestros servicios en esta misma materia en este link o nos puedes enviar un correo electrónico a infospain@controlsolutions.com

  

Reputación; ¿riesgo o criterio del riesgo?

¿Qué es la reputación de una organización? 

Más o menos existe un consenso en lo que se entiende por reputación corporativa (utilizamos este término como genérico, independientemente de que se trate de una empresa o no): es la percepción interna/externa que disponen diferentes grupos de interés (accionistas, empleados, clientes, reguladores, opinión pública, etc) sobre una organización. 

Hoy en día existen multitud de variables que pueden afectar, de una manera y otra, a la reputación corporativa. No obstante, en la gestión de riesgos son dos las perspectivas para afrontar la reputación corporativa:

1) Como un riesgo en si mismo.

2) Como un factor o un criterio de riesgo sobre el cual medir el impacto de las situaciones de amenaza.

Independientemente de la perspectiva que se adopte, lo que está claro es que la reputación corporativa es uno de los principales activos de un organización, aunque sea intangible. 

Hoy analizamos estas dos perspectivas, con el objeto de que os ayude a decidir cuál de ellas encaja mejor en vuestra organización.

La reputación como un riesgo.

El riesgo se define como el efecto que tiene la incertidumbre sobre los objetivos de la organización. A este respecto, los riesgos se materializan a través de eventos originados por causas concretas y suponen consecuencias de diferente naturaleza para la organización.

Según lo dicho, el riesgo reputacional tendrá:

• Causas; existiendo multitud de situaciones que pueden determinar la existencia de un riesgo de esta naturaleza. Pueden ser causas raíz (el origen primario del evento) o eventos intermedios (riesgos concatenados derivados de causas raíz que se plasman, a su vez, en un evento final que, normalmente, presenta una magnitud mayor). De cualquier forma, a la reputación puede afectarle cualquier tipo de amenaza surgida dentro o fuera de la organización; incidentes internos como corrupción o fraude llevado a cabo por los propios empleados o incidentes externos como el colapso de las instalaciones de proveedores en países en vías de desarrollo, fruto de la globalización de sus operaciones.

• Consecuencias o efectos; de igual manera, un riesgo reputacional puede presentar diferentes tipos de consecuencias; ya sean, por ejemplo, de naturaleza financiera (como puede ser la pérdida de beneficios o el impacto en el precio de la acción) o ubicadas en el ámbito de las relaciones con los clientes (actuales o futuras). De cualquier forma, determinar el impacto de un evento reputacional es complejo, principalmente debido a la dificultad inherente de identificar cómo contribuye la percepción que se tiene de la organización a variables económico-financieras como la pérdida de beneficios o la evolución del precio de la acción en los mercados.

La reputación como criterio del riesgo.

Existe una alternativa; incorporar la reputación como un criterio más para valorar el riesgo. Al igual que se aplica el punto de vista económico, medioambiental o de seguridad y salud de los trabajadores para medir las consecuencias que un riesgo tiene sobre la organización, puede incorporarse el factor adicional de la reputación. 

Dadas las dificultades para cuantificar los impactos reputacionales, pueden utilizarse variables cualitativas alternativas, tales como medir la gravedad del impacto enfocados en quien gestiona la situación dentro de la jerarquía de la organización (CEO, CRO, Director de Departamento, etc) o si la repercusión del evento aflora en medios de comunicación o redes sociales locales, nacionales o mundiales.

Nuestra recomendación.

En otras entradas de este blog y foros hemos dicho que consideramos la Gestión de Riesgos más como un arte que como una ciencia. Por esta razón, y desde un punto de vista eminentemente práctico, apostamos por el empleo del segundo enfoque, incorporando un factor sobre el cuál poder medir complementariamente el impacto de un riesgo. De esta manera, podemos contribuir a la eliminación de silos de información en la empresa, y movernos hacía una gestión del mismo eminentemente integral.

Un pequeño ejemplo:

Imaginemos una organización con 10 riesgos identificados que corresponden a diferentes naturalezas y tipos: riesgos internos y externos, de carácter financiero, medioambiental, operacional, etc. Supongamos que uno de esos 10 riesgos se ha identificado como riesgo reputacional (la reputación de la organización se ve comprometida o afectada negativamente); existiendo varias causas que le dan origen, como pudieran ser un fraude interno, un incumplimiento de normativa fiscal y una amenaza sobre la seguridad de datos personales. A este respecto, el riesgo reputacional llevaría aparejada una serie de consecuencias (a parte de posibles multas), entre las cuales podrían encontrarse un descenso en la cotización de la acción, por ejemplo, o un replanteamiento de las relaciones comerciales por parte de los clientes, todo ello con los consecuentes impactos en otras variables de tipo económico-financiero.

Imaginemos esa misma organización, aplicando un punto de vista diferente; incorporando la reputación corporativa como criterio adicional para evaluar el impacto de todos los riesgos. En este sentido, la organización dispondría, en total, de 12 riesgos de diferente naturaleza y tipo (el riesgo reputacional desaparece, convertido en esos tres nuevos riesgos), que dispondrán cada uno de unas causas desencadenantes propias y de consecuencias derivadas de su posible materialización, entre las que se contará su repercusión sobre la reputación de la organización. De esta manera, todos los riesgos añadirían una perspectiva de valoración adicional a los diferentes criterios para medir las consecuencias asociadas.

De esta manera, la principal ventaja será que dispondremos de una aproximación del potencial impacto de todos los riesgos identificados por una organización sobre su reputación corporativa, independientemente del tipo y la naturaleza de los mismos

En este link podéis consultar el debate que iniciamos en LinkedIn el pasado mes de agosto tratando esta cuestión. Como podréis comprobar, existen defensores de ambas perspectivas y dado el volumen y la calidad de los participantes, podemos asegurar que es una cuestión que suscita mucho interés.