El pasado día 18 de mayo se publicó la norma UNE 19601, en materia de sistemas de gestión de Compliance penal y los requisitos que deben seguir. Entre otros aspectos, esta norma incluye directrices en materia de evaluación de los riesgos penales (es decir, de los delitos que potencialmente se pudieran llegar a cometer en el contexto de una organización).

En este contexto, se indica que el proceso de evaluación de dichos riesgos debe, ante todo, identificar cuáles son, si bien matiza que se deben indicar los que se puedan anticipar razonablemente considerando las características generales de la organización (tales como su tamaño, ubicación, actividades, etc.). Dichos riesgos deben ser analizados y valorados teniendo en cuenta la eficacia de los controles existentes en la entidad.

En los casos en los que se detecten deficiencias, la organización debe tomar las medidas que estime oportunas para remediarlas, por ejemplo mediante la implantación de planes de acción concretos y específicos destinados a reforzar las deficiencias constatadas.

En cuanto al análisis referido, la norma UNE 19601 dicta que se deben considerar las causas y los orígenes de los incumplimientos detectados, en su caso, así como la gravedad de las consecuencias que se deriven. Dichas consecuencias deben entenderse en sentido amplio, englobándose en este concepto las posibles pérdidas económicas, los daños ambientales, los perjuicios reputacionales o las sanciones penales en las que se pudiera incurrir, por ejemplo. Por este motivo, los riesgos penales deben valorarse según los criterios que la persona jurídica haya establecido para estos efectos, que deben tener en cuenta los objetivos del Compliance y los compromisos asumidos en la Política al respecto y en los demás documentos que guarden relación con esta materia.

En general, la norma UNE 19601 indica que la evaluación de los riesgos penales debería prestar especial atención al umbral de riesgo que se está dispuesto a aceptar: si alguno de los riesgos detectados supera dicho umbral, se deberían implementar nuevos métodos de control interno, además de los que ya se tienen, para reducirlos.

Finalmente, la evaluación de estos riesgos penales debe revisarse periódicamente. Esto coincide con la indicación del artículo 31 bis.5 6º del Código Penal según la cual los Programas de Compliance deben revisarse periódicamente, con la frecuencia que cada organización decida (y sin perjuicio de revisiones extraordinarias ante cambios que revistan suficiente entidad en la misma, novedades normativas o incumplimientos graves que conlleven la necesidad de revisar los protocolos establecidos). El objetivo de estas revisiones es que los cambios y la nueva información puedan considerarse adecuadamente, y que todos los elementos del Sistema de Compliance de la persona jurídica resulten operativos y adecuados. En este sentido, para facilitar la revisión, toda información sobre los riesgos penales (identificación, análisis, evaluación, metodología, criterios…) debe constar por escrito.