Por Jhoel Julca;
Asociado en DLA Piper Perú.
Miembro del equipo de Compliance de The Key.
1. Introducción
En la elaboración del programa de cumplimiento uno de los factores fundamentales que todo encargado de elaborarlo debe tomar en cuenta son: los riesgos. Así, vox populi, se señala que en el día a día nos encontramos frente a riesgos en cada actividad que realizamos; empero, para efectos de eximir o atenuar de una posible sanción penal contra la persona jurídica resulta oportuno determinar los riesgos que produce esta con su actividad y los cuales podrían devenir en la comisión de un ilícito penal, para ello se debe realizar una adecuada evaluación de los mismos en la entidad jurídica para posteriormente elaborar planes que ayuden a contrarrestarlos, en una forma de manifestar una organización de acuerdo a derecho (good corporate citizen).
En tal sentido, la determinación de los riesgos y una correcta interiorización de los mismos es importante y medular al momento de elaborar el programa de cumplimiento, para ello se debe realizar una idónea esquematización de los mismos y buscar las formas de realizar que las actividades que se han identificado como riesgosas sean controladas o, después de un análisis costo-beneficio y haber valorado el grado de tolerancia, se considere cesar en las mismas.
Resaltada su importancia, es que en el presente escrito pretendemos desarrollar algunas cuestiones conceptuales respecto a los riesgos al momento de elaborar una matriz y como la claridad en los mismos es indispensable al instante de esquematizarlo. Además, de que factores se debe considerar para determinarlo y lo neurálgico que resulta la determinación singularizada en cada persona jurídica.
2. ¿Qué son las matrices de riesgo?
De entrada, debemos dejar en claro que el concepto de “matriz de riesgo”, “mapa de riesgo” o “risk assesment” no es algo propio del derecho, mucho menos del derecho penal, sino que esta es una herramienta transversal que sirve para esquematizar los riesgos que se presentan en una determinada actividad; esto se refleja en que ni en la propia Ley N.º 30424[1], su reglamento, ni en la ISO 37001 se encuentra el concepto de matriz de riesgo.
Ahora bien, se debe precisar que la información se recaba mediante el análisis de riesgos, la cual debe tener la capacidad de transmitir el estado real de la empresa en materia de riesgos.
Así, se puede señalar que mientras que la función del análisis de riesgos es la de identificar las actividades que pueden entrañar un riesgo de comisión de delito (cuando se trata de materia penal), la de la matriz de riesgos es transmitir dicha información de forma gráfica.
Señalado ello, podemos afirmar que la matriz es la representación organizada y sistematizada de los riesgos a los que está expuesta una empresa en base a la existencia de ciertos factores de riesgo y la gravedad de los mismos[2].
3. ¿Qué factores se debe tomar en cuenta para elaborar las matrices de riesgo?
En primer lugar, resulta pertinente señalar que dentro de una empresa se presentan diferentes riesgos, los cuales se pueden clasificar de la siguiente manera[3]: a) Riesgos inherentes y b) Riesgos residuales.
Los riesgos inherentes vienen a ser, según el numeral 20 del artículo 5 del Reglamento de la Ley N.º 30424, el nivel de riesgo al que se encuentra expuesta la persona jurídica en el ejercicio de sus actividades en atención a todos los elementos y características que conforman su perfil de riesgo; mientras que, en el artículo 21 del mismo cuerpo normativo, se define al riesgo residual como aquel que queda después de haber realizado la implementación del programa de compliance.
Ahora bien, señalado qué entendemos por este tipo de riesgos, es menester establecer cómo se determinan los mismos; en otras palabras, cuáles son los factores que intervienen, estos vienen a ser:
En relación a cómo determinar la probabilidad del riesgo, resulta oportuno dejar en claro que lo que se busca es contrarrestar aquellos que están mas ligados con las actividades que desarrolla la persona jurídica, sin llegar a ideas demasiado abstractas en pro de obtener el riesgo cero, puesto que ello es una tarea utópica. Así también, se debe analizar la normativa aplicable para determinar cuáles serían los delitos que se le podría imputar a la persona jurídica como tal[4][5], por ejemplo, en el caso del Perú tendría que analizarse la Ley N.º 30424 y sus modificatorias, para concluir que los delitos por los cuales puede ser sancionado la persona jurídica vienen a ser: 1. Cohecho activo transnacional, 2. Cohecho activo genérico, 3. Cohecho activo especifico, 4. Colusión simple y agravada, 5. Tráfico de influencias, 6. Lavado de activos, y, finalmente, 7. Financiamiento del terrorismo.
Precisado ello, para determinar la probabilidad se debe tomar en cuenta los siguientes factores: las condiciones para que se presente dicho riesgo (especial atención en la situación económica)[6], historial de la empresa, cultura de compliance existente en la empresa, cuestiones relacionadas con el personal externo, proveedores y recursos humanos de la empresa, entidades sobre las que la empresa ejerce control, necesidades y expectativas de las partes interesadas (stakeholder o interested party), frecuencia con la que se realiza la actividad riesgosa, tamaño de la persona jurídica, naturaleza, características, complejidad de sus operaciones, entre otros[7][8].
En relación al impacto, es muy importante conocer la sanción asociada a cada una de las conductas delictivas pertinentes (la consecuencia jurídica del supuesto de hecho), las cuales pueden ir desde multas hasta la disolución de la propia empresa (“muerte” de la persona jurídica). Se recomienda que, al momento de evaluar el nivel de impacto, se le consignen números de acuerdo a la sanción, para de esa manera tener una mejor percepción de la misma. Así también, debe tenerse muy en cuenta el daño reputacional que le generaría el simple procesamiento por una actividad criminal hasta la imposición de una sanción.
4. ¿Cuál es su importancia a nivel interno y a nivel externo?
Su importancia es que le permite al encargado (o los encargados) del programa poder realizar una adecuada gestión de los riesgos y de esa manera cumplir con lo establecido en el numeral 1 del literal b del inciso 2 del artículo 17 de la Ley N.º 30424 y con lo precisado en su reglamento.
Además, mediante esta se permite tener en claro la respuesta a las siguientes interrogantes: 1. ¿Qué hechos o actividades califican como delitos?, 2. ¿Quiénes son más proclives a cometer el delito?. Teniendo clara la respuesta a dichas interrogantes, se permite que todas las personas que forman parte de los diferentes niveles de la organización tengan nitidez sobre las acciones que cumplen con los elementos objetivos y subjetivos de un determinado tipo penal y cuál sería la sanción por ella a la persona jurídica, siempre que se cumplan los requisitos para imputarle a esta. En tal sentido, se puede apreciar que una correcta elaboración de la matriz de riesgo puede servir para desincentivar actividades criminales.
En relación a lo externo, se puede realizar una adecuada interrelación entre las personas que conforman la persona jurídica con los terceros, por ejemplo, proveedores, funcionarios públicos, entre otros.
Así también, un rol importante al momento de identificar los riesgos y de sistematizarlos, es que cuando se producen riesgos que no pueden ser controlados por la organización estás deben dejar de realizar dicha actividad en el caso de que su mitigación le resulte demasiado costosa (costo-beneficio). Ello, en razón de que al presentarse una fuente de riesgo latente se crea un deber para la persona jurídica (deber de organizarse de una forma que no lesione bienes jurídicos de terceros).
5. ¿Es un traje a la medida o pueden hacerse en masa?
En la actualidad, nos encontramos frente a la aplicación de la tecnología en diferentes espacios a los cuales no se estaba acostumbrado, frente a lo cual el derecho no podía ser indiferente: legal tech. De esa manera, el servicio legal está cambiando de forma radical para cumplir con la demanda del mercado. Así, grandes firmas ya no brindan servicios personalizados, sino que cuentan con un sistema predeterminado para ofrecer soluciones similares a sus diferentes clientes; para ello también se hace uso de la inteligencia artificial.
Mencionado ello, se podría pensar que mediante el uso de hojas de cálculos o de aplicativos informativos se podría crear plantillas que puedan ser aplicados a las personas jurídicas; empero, nosotros consideramos que si bien cuando nos encontramos frente a empresas con similitudes, se pueden coincidir en diferentes criterios al momento de evaluarlas, mas no se puede considerar que los riesgos y lo que se necesite aplicar a cada una sea la misma, toda vez que cada organización tiene sus propias particularidades y contiene sus propios riesgos. Pensemos en el caso de la medicina —solo con fines ejemplificativos—, si bien cuando al paciente se le presentan ciertos síntomas, el médico puede considerar que el problema radica en cierta parte de su organismo, pero no podrá pasar a realizar una operación invasiva sin tener un diagnóstico debidamente individualizado y estudiado, mutatis mutandi, ello se presenta al momento de realizar un análisis de los riesgos en cada organización para pasar a elaborar su programa de cumplimiento[9].
6. Conclusiones
Se puede afirmar que es medular realizar un adecuado análisis de riesgos dentro de la organización y luego sistematizarla en una matriz de riesgo, esto con la finalidad de contar con un adecuado programa de cumplimiento y generar un incentivo en el cumplimiento de las normas y un desincentivo en cometer las conductas criminales por parte de los que conforman la organización.
En la actualidad no se puede considerar que exista una plantilla a partir de la cual se pueda hacer un check list para las empresas en general.
CASADO LÓPEZ, Marc. “Elaboración y gestión de mapas de riesgos mediante Excel y mediante una aplicación informática”. En: RIBAS, Xavier (director). Practicum Compliance 2018. Thomson Reuters. Navarra, 2018. Pág.261
OLAYA LAVIGNE, Cristina y SÁNCHEZ RODRÍGUEZ, Ana. Compliance. Guía práctica de identificación, análisis y evaluación de riesgos. Thomson Reuters Aranzandi. Navarra, 2017. Págs. 121 y 122.
SÁNCHEZ MARTÍN, Miguel Ángel. Responsabilidad penal de las personas jurídicas. Thomson Reuters Aranzadi. Navarra, 2017. Pág. 487.
[1] La cual fuera modificada por el Decreto Legislativo N.° 1352 y por la Ley N.° 30835.
[2] Véase CASADO LÓPEZ, Marc. “Elaboración y gestión de mapas de riesgos mediante Excel y mediante una aplicación informática”. En: RIBAS, Xavier (director). Practicum Compliance 2018. Thomson Reuters. Navarra, 2018. Pág.261
[3] Sin que esta sea la única clasificación, sino que se asume esta para fines didácticos.
[4] Véase SÁNCHEZ MARTÍN, Miguel Ángel. Responsabilidad penal de las personas jurídicas. Thomson Reuters Aranzadi. Navarra, 2017. Pág. 487
[5] Se precisa que en el presente trabajamos nos restringimos a riesgos que involucra la imputación de una conducta delictiva de forma directa a la persona jurídica, mas no como un efecto de la responsabilidad penal de la persona natural y de la peligrosidad de la persona jurídica.
[6] Ello en razón a que si la empresa cuenta con problemas económicos, se entiende que es más proclive a cometer actos riesgosos para proveerse de liquidez.
[7] Véase OLAYA LAVIGNE, Cristina y SÁNCHEZ RODRÍGUEZ, Ana. Compliance. Guía práctica de identificación, análisis y evaluación de riesgos. Thomson Reuters Aranzandi. Navarra, 2017. Págs. 121 y 122.
[8] Estos últimos factores pueden desprenderse del artículo 20 del reglamento de la Ley N.° 30424.
[9] En concordancia con lo anotado, se recomienda que, pese a que las empresas matrices cuenten con un adecuado programa de cumplimiento, se debe realizar una adecuada implementación respecto a las sucursales en el país que desarrollan sus actividades.
Imagen de cabecera: unsplash.com
