Por Juan Antonio Lascuraín
Tengo un cierto sentimiento de extrañeza al escribir esta entrada. Como suele suceder con los profesores de Derecho, con los juristas académicos, normalmente escribo sobre materias cuya teoría más o menos domino, aunque no sé bien cómo funcionan en la práctica. Hoy reflexiono sobre un tema, el análisis de riesgos, cuya teoría conozco mucho menos que más. Y justo en esta materia, sin embargo, tengo alguna experiencia práctica.
Mi segunda preocupación es la de no aburrir al lector. Y es que yo me he aburrido bastante estos días atrás leyendo trabajos sobre análisis de riesgos. A veces por su tecnicismo, trufado de expresiones en inglés, a veces por su obviedad, que me recordaba aquel famoso sketch de Tip y Coll acerca de cómo llenar un vaso de agua. Para no compartir ese tedio no les voy a contar cómo se hace un análisis de riesgos en sus distintas fases, sino que voy a tratar de compartir cuatro inquietudes que me han acompañado en la práctica o en el asesoramiento del análisis de riesgos penales en las organizaciones empresariales.
La importancia del análisis de riesgos
El análisis de riesgos es un elemento propio de toda actividad humana que no quiera ser imprudentemente lesiva para los demás. El jugador de golf mira hacia donde va a lanzar la pelota para asegurarse de que no haya nadie. Los padres del niño que comienza a andar calibran la nueva situación y tapan los enchufes y esconden el detergente. Es lo que clásicamente se denomina deber de cuidado interno como propio de la diligencia. Su infracción puede dar lugar a conductas delictivas por imprudencia inconsciente.
La persona jurídica que tiene la obligación de prevenir los delitos de los suyos en su favor debe observar, como parte de esa obligación, ese deber de cuidado interno a través del análisis de esos riesgos penales ajenos (de otros, de sus miembros), para así poder desarrollar diligentemente la actuación que penalmente se le pide.
El análisis de riesgos es el escalón cero de un programa de cumplimiento, condición de la bondad y eficacia del resto del mismo. Y por cierto, para aquellos delitos respecto de los que son garantes los administradores, como lo medioambientales o contra la seguridad de los trabajadores, es también escalón cero del cumplimiento de su deber de garantía. Lo digo porque ello puede ser una fuente potencial de responsabilidad penal del responsable de cumplimiento como delegado, como garante delegado
Mi experiencia personal es que el análisis de riesgos es una actividad laboriosa y compleja, que exige de conocimientos diversos y no solo penales, y de una buena combinación entre reflexión teórica y experiencia práctica. No minusvaloremos esta.
De la actividad al delito y no del delito a la actividad
Cuando comencé a realizar análisis de riesgos penales en las empresas lo hacía, como por cierto se sigue haciendo mayoritariamente hoy, partiendo de los delitos que se querían prevenir (los delitos imputables a personas jurídicas) y preguntándome (i) si tales delitos podrían darse en la empresa y (ii) las situaciones en las que tales delitos podrían darse. Esto conducía a la realización de cuestionarios delito a delito y a un modo complicado de respuestas a los mismos, pues tales cuestionarios tenían que pasar de mano en mano por los responsables de la empresa y ser objeto de ratificación y matiz a través de entrevistas a varias personas por cada cuestionario.
No era eso lo peor, sino la sensación de la inconcreción y de la falta de completud. De que se me escapaban cosas. La pista nos la dio el legislador penal de 2105, que al hablar del análisis de riesgos, habla de la identificación de las actividades “en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”. Si se trataba de detectar las actividades desviadas lo lógico, lo concreto, era pensar en lo que se hacía y desde tal concreción pensar en las desviaciones, y no partir de la desviación en abstracto para luego tratar de tipificar conductas dables en la empresa, siquiera sea porque la pura perspectiva jurídica puede dar lugar a infinidad de conductas posibles, y, en cambio, el ámbito de desviación de una conducta es limitado a partir precisamente de perspectivas penales limitadas, que son las que tiene el penalista en la cabeza.
¿Qué es más fácil para mejorar el rendimiento de un decatleta detectando sus defectos? ¿Partir de las virtudes atléticas en abstracto – concentración, explosividad, resistencia – o analizar prueba por prueba?
En la práctica, con esta nueva estrategia todo se facilitó mucho y dio lugar a una indagación más efectiva. Se trataba de saber qué hacía la empresa y a partir de ello enumerar los procedimientos, normalmente ya estandarizados, que denominábamos “potencialmente criminógenos”.
En mi experiencia, raro será que tales procedimientos excedan en mucho de veinte. Para una mejor comprensión pueden ser organizados en tres bloques, sin mayores afanes que el pedagógico y el de organización mental:
- Riesgos de gestión: por ejemplo: contratación de empleados, solicitud de licencias, declaraciones tributarias, pagos, cobros, supervisión de trabajadores, bases de datos.
- Riesgos de producción: contratación telefónica, gestión de residuos.
- Riesgos de comercialización: captación de clientes, participación en licitaciones.
Lo anterior expresa ya por cierto que un buen análisis de riesgos no puede hacerse si no se combinan dos tipos de conocimientos. Como se trata de saber al final qué actividades sociales pueden devenir delictivas en beneficio de la sociedad, tendrá que saberse qué se hace en la organización, y eso solo se sabe bien en la propia organización, y en qué consiste lo delictivo, cosa que deberá dilucidar un penalista en sus distintos parámetros, por cierto no infrecuentemente discutibles, lo que deberá aconsejar una especie de principio de precaución: controla este tipo de conductas aunque no es seguro que un juez las vaya a considerar delictivas. Tales parámetros se refieren, por cierto, no solo a los delitos cometibles por la persona jurídica, sino a las personas que esta debe controlar, a la tipología del correspondiente delito, y a la punibilidad o no por razones de territorialidad.
En este punto surge la duda de qué debe hacer en un buen programa de cumplimiento penal, de qué riesgos ha de detectar el análisis de riesgos: ¿Solo los penales? ¿También los administrativos? ¿Las meras irregularidades internas, las infracciones del código ético?
Aquí en realidad las preguntas son dos. La superficie y la profundidad del análisis.
Hay que analizar desde luego los potenciales delitos imputables a la persona jurídica, y hasta aquí llega el deber penal de la persona jurídica. Pero, ya puestos, creo que debería aprovecharse el viaje para alcanzar otros delitos que supongan consecuencias accesorias para la persona jurídica o que dañen la reputación de la misma – que es frecuentemente el principal componente aflictivo de la sanción penal a la persona jurídica cuando esta se impone –, o que puedan alcanzar individualmente a los administradores y altos directivos por omisión imprudente. Y es que coinciden en buena parte las estrategias de diligencia penal de estos y las de la persona jurídica: organizar razonablemente la empresa para que no se cometan delitos desde la misma, para que no se irroguen daños graves e injustificados a terceros. Dicho con los delitos que más claramente deberían prevenirse a pesar de no ser imputables a las personas jurídicas: no es obligatorio incluir en el programa de cumplimiento penal los delitos contra los derechos de los trabajadores pero lo más sensato sería incluirlos.
En cuanto a la profundidad del análisis sería, además de difícil, un error quedarse en los riesgos penales y no alcanzar los de infracción administrativa o los de irregularidad interna. En primer lugar, porque prevenir las irregularidades no penales es pre-prevenir las penales. Y en segundo lugar, porque, como luego comentaré, el control ético general en le empresa constituye una de las principales medidas de control penal. Por ejemplificar: sería un error de cumplimiento no prevenir el blanqueo desde el plan de prevención penal de la empresa porque la persona jurídica en cuestión no se dedique al blanqueo, que es al supuesto al que torpemente reduce el legislador penal la responsabilidad penal de las personas jurídicas en esta materia (art. 302.1 CP).
La probabilidad depende de la ganancia y de la necesidad
Constatada la posibilidad del delito en un determinado procedimiento, debe evaluarse su probabilidad.
Si son correctas las teorías criminológicas que asocian la delincuencia de empresa con el ánimo de lucro y con la dureza del sistema competitivo (up or out), la inclinación al delito será tanto mayor cuanto más beneficio acarree a la empresa, sea en forma directa sea en forma de perjuicio de competidores, y cuanto mayor sea la necesidad de dicho beneficio. La criminología constata, de hecho, que la situación apurada de la empresa constituye un factor criminógeno, un factor para agarrarse a ese clavo ardiendo que es el delito. La necesidad puede provenir también de la dificultad de competir en un determinado sector en el que se ha generalizado la competencia desleal y en el que no hay alternativas limpias para la producción. Este es el clásico alegato de las empresas de construcción y de ingeniería civil que operan en países con una elevada corrupción pública.
¿Cómo sabemos qué delitos son los más golosos? ¿Cómo sabemos cuál es la situación económica de la empresa?
A la primera pregunta se responde con racionalidad, lo que equivale al estudio de reflexiones penales y criminológicas al respecto. La segunda pregunta la responderá directamente la organización.
En todo caso, indicios de probabilidad abstracta los encontramos en los estudios de riesgos del sector y en las estadísticas judiciales. Aunque, por la incidencia de las cifras negras de criminalidad, pueden darse delitos muy cometidos y poco juzgados, sí que los más juzgados indican la probabilidad de su comisión.
Pero la probabilidad depende también del control
Los que se dedican a las tan sorprendentemente publicitadas apuestas deportivas saben bien que el resultado de un partido del fútbol no depende solo de la capacidad ofensiva de los equipos sino en la misma medida de su capacidad defensiva. Que la comisión de un determinado delito en un procedimiento empresarial sea más o menos probable no depende solo del ataque – del beneficio y de la necesidad – sino también de la defensa, de la existencia de mecanismos de control previo o de detección posterior. Asimismo, y esto lo conocemos bien en el delito indetectable estrella, el uso de información privilegiada, la probabilidad de comisión crece con la probabilidad de consolidar el beneficio pretendido porque el delito no sea ni controlado a priori ni detectado a posteriori.
En el análisis de riesgos debe pues indagarse sobre la existencia y la eficacia de los controles de la organización para que sus miembros no delincan. Esto funciona de manera distinta, por cierto, en el Estado democrático respecto a sus ciudadanos que en las empresas y en las organizaciones públicas. La sociedad democrática es un entorno de libertad, en el que no se controla al ciudadano a priori para que no delinca. La empresa es, en cambio, un entorno de control.
Cada procedimiento tiene sus controles específicos y por ellos habrá que preguntar para sopesar la probabilidad de irregularidades. Dicho eso, también es cierto que la mayoría de los controles están informados por una misma racionalidad. Se trata de influir al miembro de la organización desde sí mismo, con formación, o de supervisar su actividad, singularmente controlando los recursos económicos, que suelen ser el instrumento del delito.
Más allá, más en abstracto, como sustrato de todo el programa de cumplimiento penal, como estrategia transversal de cumplimiento está la mayor influencia formativa, que es la impronta ética de la organización, solo posible si se marca desde arriba (tone from the top). La incidencia resulta obvia: si se delinque a favor de la organización es porque el miembro piensa que favorece a la organización, motivación que se derrumba si la organización le hace ver fehacientemente que no le interesa el delito. Que tolerancia cero.
La segunda estrategia transversal, de control preventivo o a posteriori, y que hay que computar en el cálculo de probabilidades delictivas, es la existencia de un sistema efectivo de detección y sanción de las irregularidades. Y tal sistema va a depender sobre todo de un canal bien diseñado de denuncias, del estímulo positivo de la mismas y de la protección radical de los alertadores (whistleblowers).
En la evaluación de los sistemas de control tiene importancia el historial de litigiosidad externa, indicativo de que los controles a priori son insuficientes. Las denuncias internas son, en cambio, fruto probable de un ambiente ético y de un sistema disciplinario eficaz. El peso hay que ponerlo en este caso en el platillo de la balanza de la improbabilidad.
Los elementos enunciados deben ser plasmados y ordenados en los cuestionarios correspondientes a cada procedimiento. Básicamente las preguntas corresponderán a tres bloques:
- preguntas destinadas a desentrañar el procedimiento;
- preguntas dirigidas a calibrar el riesgo en positivo;
- preguntas dirigidas a calibrar el riesgo en negativo, los mecanismos de control.
En la persecución de la foto fidedigna que persigue el análisis de riesgos pueden utilizarse aún los filtros adicionales que posibilitan las encuestas a los que intervienen en el procedimiento. Las respuestas a los cuestionarios se dirigen a la organización misma y serán respondidas normalmente por los responsables de tales procedimientos: el director financiero, el director de recursos humanos o el responsable de informática. Sus respuestas pueden transmitir una visión edulcorada de la organización de la empresa a la vista de que no hay anonimato en el interrogatorio y de que se les pregunta por el área que dirigen.
Este sesgo debería ser compensado por un sistema de encuestas en el que se les pregunte a los involucrados en el procedimiento por su valoración del funcionamiento y la eficacia de los controles, sobre su percepción del riesgo penal, sobre su experiencia acerca de si han sido autores, víctimas o testigos de alguna irregularidad. Obvio resulta decir que el número y la veracidad de las encuestas va a depender del clima de confianza que haya generado la organización y de su capacidad para asegurar el anonimato o la confidencialidad y la indemnidad del encuestado.
Riesgo para la Sociedad, no para la organización
He hablado hasta ahora de parámetros para cuantificar la probabilidad de que se cometa un delito en el seno de un procedimiento. Pero sabido es que la cuantificación del riesgo depende tanto de la probabilidad del evento como de la gravedad de este.
En las reflexiones sobre el análisis de los riesgos penales sorprende ver que a menudo no se calibra lo único que debe calibrarse para ponderar la entidad del riesgo penal, que es el mal del delito. El riesgo es más grave cuanto mas grave sea el delito y ello viene indicado, sobre todo aunque no solo, por la pena asignada al delito, aunque puedan ponderarse otros factores (como, por ejemplo, por su directa relación con la idea de dignidad de la persona, si el delito comporta vulneración de derechos fundamentales, como sucede por ejemplo con los delitos contra la intimidad de los trabajadores).
Decía ahora que la pena no es el único indicador de la gravedad del delito porque inciden en la conformación de la pena otros factores distintos de necesidad de pena, como por ejemplo la compensación de la mayor vulnerabilidad del bien – piénsese en la administración desleal – o la menor detectabilidad de la comisión del delito – piénsese en el uso de información privilegiada -. La pena será mayor no porque la conducta en sí sea más grave sino para desalentar un delito fácil. Asimismo puede calibrarse que no es lo mismo, que es menor, el mal que genera un exceso en un riesgo permitido – una contaminación excesiva, por ejemplo -, pues parte del riesgo ha sido útil, que el riesgo radicalmente prohibido, como es el propio de un soborno.
Lo que desde luego es improcedente es valorar el mal de la comisión del delito como mal para la empresa derivado de la sanción del mismo: como el mal de la pena y mal reputacional que la misma comporta. Ese es otro análisis de riesgos penales de la empresa que es el derivado de cometer ella su delito. Es el propio de decidir cometer un delito, o arriesgarse a cometerlo, y calibrar si ello le merece la pena.
Confundir ambos riesgos es confundirlo todo. Es olvidar que el análisis de riesgos de que se cometan delitos en la organización tiene su propia lógica de probabilidad y gravedad de tales delitos, que ello es parte del sistema de cumplimiento penal de la organización, y que ese sistema es la vía para observar su propio deber penal de evitar el delito de los suyos en su favor.
Hasta aquí he hablado de factores de riesgo positivos y negativos para cuantificar la probabilidad de que se cometa un delito y de criterios de valoración del mal que genera el delito. La indagación no es fácil en ninguno de los tres campos y conduce solo a resultados vagamente aproximativos de valoración del riesgo.
No sé si es por convicción intelectual o por ignorancia de las técnicas de parametrización, pero soy bastante escéptico respecto a las cifras redondas de riesgo e incluso a las coloridas matrices de riesgo. Me parece que encaja aquí mejor, es más fiel y eficaz, el discurso que la cifra. Que es mejor decir que el elevado riesgo de corrupción está suficientemente controlado aunque es susceptible de alguna mejora; que anotar en una casilla naranja que el riesgo de corrupción es del 63,5%.
En la teoría, todo es una mierda/En la práctica, tú estás encima de mí -y viceversa-,/ y todo es maravilloso
Elvira Sastre
