La complejidad de la actual sociedad y de los diferentes agentes empresariales que operan en múltiples sectores de la economía y del mercado ha dado lugar a que la Administración Pública no sea capaz de desplegar su eficiencia en el control de estas actividades y buen ejemplo de ello han sido los recientes escándalos de corrupción no sólo en el sector público, sino también en el sector privado.
Ello ha llevado a que el Estado haya decidido impulsar nuevas regulaciones que impliquen la asunción de responsabilidades en el control por parte de los diferentes agentes empresariales, obligándoles a revisar su estrategia social corporativa. Así ha ocurrido, por ejemplo, en sectores regulados como la banca o seguros, con la definición e implantación de esquemas de estandarización como Basilea II o Solvencia II respectivamente.
La reciente reforma del código penal, que introduce la responsabilidad penal de la persona jurídica, y que afecta a todo tipo de sociedades (operen o no en mercados regulados), constituye un paso firme en la estrategia política de autocontrol que la Administración quiere implantar con carácter general, lo que obligará, si se quieren evitar responsabilidades, traducidas en fuertes multas y pérdidas económicas, a implantar modelos de gestión del riesgo penal.
La obligatoriedad de definir e implantar un Modelo de Prevención de Delitos ha desorientado a las compañías que no operan en sectores tradicionalmente regulados, como banca, seguros, o inversiones, en torno a cómo acertar con un modelo de gestión del Riesgo Penal eficiente y que pueda evitar la correspondientes responsabilidad.
La gestión por procesos se presenta como el paradigma en la búsqueda de la excelencia operacional para cualquier tipo de compañía. Metodologías como Lean ayudan a crear procesos más eficientes, consumen menos recursos para aportar una misma o mayor cantidad de valor al cliente o al usuario, pero además permiten identificar todas las etapas de un proceso. Tradicionalmente la gestión del riesgo operacional se ha asociado a la gestión por procesos. Recordemos que una correcta definición de riesgo operacional es la posibilidad de que se produzcan pérdidas directas o indirectas asociadas a errores humanos, fallos en los sistemas, existencia de políticas, procesos o controles inadecuados y eventos externos (excluyendo el riego legal). Por tanto, se ha entendido correcta para la gestión del riesgo operacional pero no para el legal.
El riesgo penal podemos definirlo como un tipo de riesgo legal más específico. Pero como todo riesgo puede ser identificado y, en gran medida, sometido a control, en esta línea es imprescindible recurrir al uso de las mismas metodologías para la identificación, medida y control del riesgo operacional, realizando las oportunas variaciones para ajustarnos al concepto y circunstancias del riesgo penal.
Las mejores metodologías incorporan un primer paso de análisis de los procesos de la compañía con un nivel de detalle suficiente para identificar las actividades que los componen. Será sobre dichas actividades sobre las que se efectúe el análisis de exposición al riesgo penal y se obtendrá una medida suficiente para establecer y mantener controles que impidan o reduzcan notablemente la comisión de ilícitos penales. El nivel de detalle del proceso a actividad se presenta como el adecuado para adoptar una medida del riesgo penal. Para cada una de las actividades del proceso se procede a realizar un análisis técnico penal sobre la posible comisión de delitos al ejecutar dichas actividades. Una vez analizado se realiza un modelado del proceso y, sobre ese modelado, se establecen los controles, las recomendaciones o las modificaciones necesarias para el uso del sistema de control de forma eficiente.
Como complemento es recomendable disponer de un sistema informático que permita la gestión de la información sobre exposición al riesgo penal de la compañía, medida en términos de impacto y probabilidad de ocurrencia y que permita obtener en tiempo real información sobre la eficacia de los controles de naturaleza preventiva para evitar incurrir en riesgos penales. Si esa solución se basa en aplicaciones estándar sin necesidad de desarrollos hacemos del sistema doblemente eficaz y eficiente.