MODELO DE GESTION DEL RIESGO OPERACIONAL BASICO

MOTIVACION DEL MODELO

Desde la revolución industrial las organizaciones empresariales han venido experimentando un importante desarrollo laboral,  tecnológico y productivo, cada vez mas sofisticado en procesos, productos  y servicios, que han visto elevadas las exigencias de calidad y destreza para gestionar los mercados y la globalización del consumo. Esto ha obligado a establecer nuevas reglas para la gestión de las organizaciones que llevan implícitas cautelas en seguridad industrial, prevención, aseguramiento, continuidad de abastecimiento y adecuación a normas impuestas, para garantizar un mayor y  mejor control interno.

En este sentido poco a poco la gestión del riesgo se ha convertido en un  valor primordial para las corporaciones, habida cuenta de la importancia de mantener una adecuada cadena de producción y cadena de suministro.  Escenarios en los que junto al cumplimiento  de los  objetivos económico-financieros, el acaecimiento de un suceso inesperado podría poner en peligro la supervivencia de la organización. A tal efecto una correcta identificación, evaluación, análisis y gestión del riesgo son de vital importancia para mantener el control de la organización.

Por estos motivos hemos creído imprescindible la creación de un modelo de identificación y valoración para riesgos operacionales, que sirva de guía metodológica que permita  personalizar los riesgos a los que está expuesta la organización, estableciendo criterios analíticos de probabilidad y consecuencia dentro de un sistema de proporcionalidad que analice  las actuaciones en aquellos riesgos de mayor sometimiento o gravedad, bajo un contexto de tolerancia  y aceptación, que promueva actuaciones de aseguramiento y control interno ajustadas a la importancia del riesgo valorado.

Finalmente el modelo de riesgos operacionales propone cuatro informes para la valoración y gestión:

1. Informe de riesgo: identificación, evaluación y análisis de los riesgos, concretando la tolerancia y apetito al riesgo de la organización para cada riesgo. Valora los diferentes parámetros y volumetrías del riesgo proponiendo una solución aseguradora.
2. Informe de gestión sobre riesgos para control interno: dirigido a tomar medidas sobre los riesgos que han sido catalogados por encima de la tolerancia y apetito al riesgo de la organización.
3. Informe de gestión sobre riesgos para planes contingentes: dirigido a los riesgos que por su impacto en la organización podrían causar un colapso y deberían establecerse planes de contingencia o continuidad.
4. Informe de gestión sobre riesgos de frecuencia: dirigido a tomar medidas para limitar las pérdidas ocasionadas por riesgos  que se materializan con cierta continuidad y que pueden ser gestionados por la organización.

FASES DE LA EVALUACION

Ø  FASE DE IDENTIFICACION Y VOLUMETRIA DE LA ORGANIZACIÓN: en esta fase se propone revisar los bienes expuestos al riesgo desde un punto de vista tanto interno como externo. En esta etapa se valoran los activos propios y los activos del entorno a los que se les puede causar un perjuicio en el supuesto de materializarse un suceso contenido en el catalogo de riesgos que con posterioridad se analiza en el apartado correspondiente.

En este sentido el cuestionario analiza os siguientes conceptos:

ü  Sector al que pertenece

ü  Actividades económicas que se desarrollan y volumen de negocio

ü  Medios humanos con los que se cuenta

ü  Valoración de inmuebles

ü  Valoración de bienes de equipo

ü  Valoración de existencias

ü  Valoración de otros activos de la organización

En las valoraciones generales se utiliza el sistema de apreciación o información obtenida en las reuniones de obtención de datos. De otra parte las valoraciones de activos tienen tres conceptos  de valoración diferentes que permitirán establecer los criterios que deberán regir en las futuras decisiones de aseguramiento:

o   Valor asignado: se trata de un valor contenido en los balances o informes de auditoría de la empresa y que forman parte de la imagen real de los activos y sus amortizaciones en el tiempo, sin tener en cuenta sus depreciaciones o apreciaciones por conceptos como incrementos de precios de mercado, depreciación tecnológica, obsolescencia etc….

o   Valor asegurado: se trata del valor que consta en las pólizas de seguro como  valores asegurados y que determinan los límites máximos a los que la organización tendrá derecho de cobro en el supuesto del acaecimiento de un suceso.

o   Valor peritado: se trata del valor asignado por  el estudio  real del valor los bienes de la empresa, bien este realizado por un perito tasador, o por persona cualificada para ello. Este valor y los porcentajes de seguridad,  será el valor de referencia para establecer los nuevos criterios de perdida máxima en el informe.

Finalmente en el análisis de otros valores de la organización se analizan parámetros     que pueden tener una importante repercusión tanto en los riesgos analizados como en las consecuencias de un suceso:

ü  Entorno empresarial

ü  Entorno medioambiental

ü  Bienes de terceros o en custodia

ü  Bienes desplazados

ü  Lotes de fabricación

ü  Cumulo de riesgos

ü  Seguridad industrial

Ø  FASE DE IDENTIFICACION Y EVALUACION DE RIESGOS Y GRUPOS DE RIESGO: esta fase está destinada a la identificación de los riesgos que afectan a la organización desde la presentación de un catalogo de mas de 300 riesgos clasificados a través de 17 grupos, valorando cada riesgo según los principios de:  

v  Exposición: determina si estamos sometidos a un riesgo en alguno de los apartados o elementos de la organización y en qué medida ese sometimiento  es de mayor o menor intensidad

v  Intensidad o impacto: en este apartado se determina el impacto que un suceso podría tener en la organización siempre pensando en el peor de los escenarios y sin tener en cuenta las medidas de seguridad que se puedan implementar.

v  Frecuencia: este apartado establece criterios de repetición de ocurrencia de un suceso  en un periodo de tiempo determinado.

v  Nivel de control:  fija los elementos de protección, seguridad, aseguramiento y control interno implementados por la organización y que en suma forman parte de los principios paliativos, de protección y evitación con los que cuenta la empresa para evitar un suceso o las consecuencias de cada uno de los riesgos catalogados

               
Las respuestas obtenidas por la contestación al catalogo de riesgos, es presentada en el informe a través de una valoración por coeficientes que determinan el valor del riesgos individual así como  la valoración del riesgo por  grupos homogéneos de riesgo.

Ø  FASE DE VALORACION DE LOS RIESGOS: una vez obtenidos los coeficientes de riesgo tanto por grupos de riesgo como por riesgo individual, se establecen los criterios: 

ü  Tolerancia al riesgo: se trata de la diferencia entre el riesgo que la organización está dispuesta a asumir y el riesgo que no es aceptable, en proporción al total de riesgo al que está expuesta.   

ü  Apetito al riesgo: se trata de la parte de riesgo que la organización está dispuesta a retener y a partir del que  se establecen criterios de gestión  con el objetivo de controlarlo o transferirlo.

               
Una vez se han establecido estos criterios de selección de riesgos, el sistema pasara a determinar una selección de riesgos que son tolerables y otra selección de riesgos que se encuentran por encima de la tolerancia al riesgo.

Los riesgos que se encuentran en coeficientes que superan la tolerancia son ajustados de nuevo por el valor seleccionado de apetito al riesgo, con el objetivo de que sean estos riesgos los que pasen a ser gestionados por la organización. En este sentido cabe destacar que la selección de riesgos para ser gestionados  en base al apetito al riesgo, podrá estar dentro de la horquilla de coeficientes seleccionada para los valores de tolerancia, o también podrá ser seleccionados coeficientes de apetito al riesgos por encima o inferiores a los valores de tolerancia, dado que este concepto de apetito al riesgo servirá para incorporar control interno sobre los riesgos seleccionados.

Ø  FASE DE ANALISIS DEL RIESGOS Y SU GESTIÓN: tan pronto se han valorado los riesgos y se establecen los criterios sobre los que se tomaran medidas para ser gestionados. Se establece el análisis de los niveles de control y seguridad sobre los grupos de riesgo:

ü  Valoración y análisis de transferencia o aseguramiento

ü  Valoración y análisis de seguridad industrial 

ü  Valoración y análisis de control interno

             
Obtenidos los datos de control interno, seguridad y transferencia, estaremos en condición de valorar los escenarios de pérdidas de la organización:

o   V.M.E – Valor Máximo Expuesto: Determina los valores que la organización pone a disposición de las actividades para conseguir sus objetivos.

o   P.M.P -- Perdida Máxima Posible: Establece la pérdida máxima a la que está expuesta la organización, con relación a sus propias características de dispersión o  cumulo, sin tener en cuenta las medidas de seguridad y control que se tengan implementadas.

o   S.M.P – Siniestro Máximo Probable:  Fija los valores de un siniestro o perdida máxima, tras haber establecido criterios matemáticos de probabilidad en relación a los medios de control interno, protección, prevención ,, seguridad y transferencia instaurados en la organización.

Ø  FASE DE CONCLUSIONES: la fase de conclusiones tiene como objetivo determinar los valores a tener en cuenta tanto para gestionar los riesgos de la organización como  de su correcto aseguramiento. También se establecen en ocasiones algunos comentarios advertencias o consejos por  parte de los técnicos que elaboran el informe.

Ø  FASE DE GESTION DEL RIESGO: la fase de gestión tiene como objetivo seleccionar las medidas que se deberán tomar con los riesgos que están por encima de los criterios de apetito para conseguir un control de los mismos. Así mismo se incluye en los informes de gestión, un documento con el que iniciar los trabajos para la elaboración de planes de contingencia o  continuidad.

Este modelo de riesgos operacionales contiene los siguientes informes de gestión:

ü  Informe de gestión sobre riesgos para control interno: dirigido a tomar medidas sobre los riesgos que han sido catalogados por encima de la tolerancia y apetito al riesgo de la organización.

ü  Informe de gestión sobre riesgos para planes contingentes: dirigido a los riesgos que por su impacto en la organización podrían causar un colapso y deberían establecerse planes de contingencia o continuidad.

ü  Informe de gestión sobre riesgos de frecuencia: dirigido a tomar medidas para limitar las pérdidas ocasionadas por riesgos  que se materializan con cierta continuidad y que pueden ser gestionados por la organización.

GUIA METODOLOGICA

                No existe una guía metodológica de referencia que nos permita establecer conclusiones para determinar los riesgos operacionales, si bien hemos acudido a varias fuentes que nos han permitido consensuar un criterio homogéneo y comparable que permite cuantificar los aspectos cualitativos de la organización.

En este sentido los criterios de la investigación se han basado en:

·         Normas UNE-ISO 31000-2010 Gestión del riesgo

·         Clasificación de materias y mercancías de catalogo CEA (Comité Europeo de Seguros)

INTRODUCCION AL MODELO

El modelo de valoración del riesgo  operacional, tiene como objetivo principal establecer los criterios lógicos de control interno y aseguramiento sobre la base de un profundo análisis de los aquellos elementos  generadores de sucesos que puedan poner en peligro a las personas, los activos empresariales o los objetivos de la organización.

En este sentido hemos partido de la base de que los riesgos  operacionales, son todos aquellos que nacen de las personas, actividades y entorno, afectando a los mercados, el patrimonio, el entorno y a la vida social de la organización. Estos escenarios bien merecen una clasificación  lo más amplia y exhaustiva de los  riesgos que nos permite seleccionar aquellos a los que estamos sometidos pero dentro de un estándar amplio y predeterminado que permita comparar la evolución de las medidas correctoras.

El método utilizado permite extraer  para su gestión tanto los riesgos que por su naturaleza tienen un coeficiente elevado y merece la atención de los gestores. Como aquellos riesgos que por su naturaleza tienen un impacto  devastador para la organización, mereciendo un análisis muy especial, como los que por su frecuencia deben ser gestionados para evitar pérdidas continuadas.



Juan Fort

Protección del Riesgo de terrorismo en los riesgos operacionales de carácter internacional

La valoración del riesgo de terrorismo resurge de lo más profundo de las previsiones empresariales y viene a situarse entre los 10 riesgos que más preocupan a las empresas europeas.

Antes de analizar esta situación cabe destacar que España,  es el  único  país de nuestro entorno económico que cuenta con un sistema de aseguramiento público (Consorcio de Compensación de Seguros), que a cambio de una prima incluida obligatoriamente en las primas habituales de seguro, garantiza las indemnizaciones por el riesgo de terrorismo.

Tradicionalmente se ha dado  poca importancia  al  riesgo de terrorismo salvo  en la valoración de infraestructuras criticas donde las características del  riesgo aconsejaban no solo tener el riesgo de terrorismo contemplado,  sino que también cabe tener un plan de contingencias para establecer las actuaciones inmediatas en caso de ataque. Esto sucede así en sector eléctrico, telecomunicaciones,  energético, infraestructuras públicas, abastecimientos de agua etc….

Pero las empresas deberemos hacernos algunas preguntas:

¿Qué sucede con los riesgos fuera de España como filiales o centros productivos no protegidos por el  sistema consorciable español?

¿Cuáles son las implicaciones del terrorismo para las mercancías en tránsito?

¿Estamos protegidos frente al  terrorismo en nuestras inversiones en el exterior?

¿Nuestro sector es sensible a las consecuencias de un ataque interno o cierre de mercados exteriores?

¿Cómo protegemos a las personas de nuestra organización frente a los posibles ataques terroristas?

¿Estamos preparados  y  protegidos frente a un daño ocasionado  a una infraestructura crítica y que nos afecte paralizando  nuestra actividad?

Estas son algunas de las preguntas que la gestión de riesgos en la organización debe plantearse, pero  seguro que existen otras muchas cuestiones que analizar para garantizar la vida empresarial y la continuidad en el supuesto de vernos afectados directa o  indirectamente por una acción de terrorismo.

En este sentido los gestores de riesgo tendremos que valorar  este riesgo, a partir de ahora con carácter prioritario,  estableciendo normas de actuación y planes de contingencias que nos permitan reducir el  grado de exposición, minimizar el impacto para la organización y establecer niveles de control que nos permitan medir los acontecimientos y valorar sus implicaciones.

No es tarea fácil hacer un análisis objetivo de este tipo de riesgos, dada cuenta que si bien su acción directa  tiene un importante impacto para la organización, no podemos dejar de analizar  los perjuicios de las consecuencias indirectas. Solo tenemos que pensar en la pérdida de mercados turísticos o de consumo, la perdida de personas estratégicas o la paralización de una planta productiva por falta de suministro energético para proyectar en el tiempo las posibles pérdidas que se pueden materializar en una empresa.

En conclusión, saquemos de nuestros cajones este riesgo que teníamos algo olvidado y establezcamos nuestros propios escenarios de riesgo, con el  objetivo de tener el control, midiendo,  erradicando, minorando y  en el supuesto de ser necesario asegurando  los riesgos de terrorismo. No veamos el riesgo de lejos, interioricemos sus consecuencias. 


Juan Fort

ULTIMOS BAROMETROS DEL RIESGO 2016

LA PERDIDA DE BENEFICIOS Y LA CADENA DE SUMINISTRO LA GRAN PREOCUPACIÓN DE LAS EMPRESAS PARA EL  2016

Según el último  estudio realizado por la prestigiosa entidad auguradora internacional ALLIANZ GLOBAL CORPORATE, los riesgos que más preocupan a las empresas para el próximo año 2016 son:

1. Perdida de beneficios y ruptura de la cadena de suministro ----- 56%
2. Incendios, explosiones y colapsos tradicionales -------------------- 38%
3. Catástrofes naturales -------------------------------------------------------- 29%
4. Incidentes cibernéticos ------------------------------------------------------ 23%
5. Robo, fraude, corrupción, etc..., ------------------------------------------ 23%
6. Errores humanos -------------------------------------------------------------- 19%
7. Desarrollos de mercado ---------------------------------------------------- 17%
8. Cambios de legislación y la regulación --------------------------------- 15%
9. Perdida de reputación o del valor de la marca ----------------------- 13%
10. Desarrollos macroeconómicos ------------------------------------------ 13%

De todos estos riesgos sorprende que emerjan con fuerza tres nuevos escenarios que antaño no formaban parte de las tablas de valoración:

ü  Errores humanos

ü  Desarrollos de mercado

ü  Desarrollos macroeconómicos

De esta forma podemos advertir que cada día más los riesgos intangibles y aquellos de difícil medición generan inquietud entre los directivos y empresarios, promoviendo  la importancia dentro  de las organizaciones de una metodología en gestión de riesgos que este actualizada y sea fiable.

Como ya hemos constatado en España aparecen por primera vez entre los principales riesgos los errores humanos como hecho generador de grandes pérdidas o pérdidas continuadas, el desarrollo de mercado en el que la volatilidad, intensificación de la competencia, estancamiento económico o retracción de los consumidores dejan de ser meros indicadores y pasan a ser un riesgo directo sobre los objetivos empresariales. También emergen con fuerza los riesgos macroeconómicos, a los que estamos cada vez mas sometidos en nuestra economía global  y que hacen que cualquier inestabilidad en el mundo pueda tener una enorme repercusión para un país o un mercado concreto.

Todo esto  nos da una visión más amplia del riesgo  en las organizaciones, que ya no va a poder tratarse de forma generalista y amigable, sino que la nueva tendencia de control del riesgo viene marcada por la  metodología, medición y control a través de sistemas y profesionales de la gestión del riesgo que aporten los conocimientos necesarios que permitan establecer criterios sólidos de supervivencia y cumplimiento de los objetivos empresariales.

Juan Fort

EL TERRORISMO Y EL IMPACTO EN LA EMPRESA

¿Cuántas de las empresas que tenemos a nuestro alrededor tienen identificados, analizados y evaluados los riesgos inherentes al terrorismo? ¿Somos conscientes de las pérdidas que este riesgo puede generar en nuestras organizaciones?

Históricamente las empresas basan su protección frente al riesgo, en aquellos riesgos mas conocidos y que le son más fáciles de valorar, dejando  al azar aquellos riesgos que por su complejidad generan más dificultades para tenerlos controlados.

En este sentido tenemos que sensibilizar a las empresas de nuestro entorno ante riesgos como el de terrorismo, que si bien esta presente en la lejanía de la información, puede materializarse en cualquier organización empresarial causando  un impacto de considerables proporciones.

Desde el año 2011 al  2013 se produjeron en el  mundo 3.151 ataques terroristas causando 4.861 víctimas mortales. Es evidente que no  hemos querido  incluir en este dato el ataque a las Torres Gemelas.

Pero  fijemos nuestra atención precisamente en este ataque al corazón de la economía mundial. Porque desde este momento las reglas del juego  terrorista han ido cambiando y ya no podemos hablar de riesgo  localizado, sino que irremediablemente tenemos que pensar que dada ve el riesgo esta más deslocalizado y por lo tanto corremos riesgos de menor incidencia directa, pero  de mayor impacto indirecto.

Pensemos por un momento que ha sucedido con Egipto, libia, Siria o  recientemente Tunez. Sencillamente la economía de dichos países ha sido  vulnerada en tal magnitud que las empresas tanto locales como  de inversión extranjera se han visto perjudicadas o en el peor de los casos  han desaparecido.

Analicemos que sucedería con el  turismo de nuestro país si de repente pasamos a ser objetivo de los terroristas, o pensemos que ocurriría con las inversiones que las empresas españolas tienen diseminadas por el  mundo. Hemos medido el  impacto de la invasión de Ucrania, somos conscientes de la caída de turismo en Tunez, tenían las empresas constructoras sus activos protegidos en Libia.

Una vez más tenemos que pararnos a reflexionar y  establecer criterios de riesgo que nos lleven a estar preparados para cualquier contingencia, intentando  minimizar en lo posible las consecuencias negativas que la nueva fórmula de amenaza terrorista cierne sobre nuestras organizaciones y las personas que las componen.

SECUESTRO Y EXTORSION UN RIESGO EMPRESARIAL DE NUEVA GENERACION

No es nada nuevo que oigamos hablar del riesgo de secuestro y extorsión vinculado  a la actividad empresarial, pero  no siendo nuevo si que es algo  desconocido para las empresa en general, tal vez mas desconocido  como suele suceder, para aquellas empresas que no han vivido en su seno  un problema de esta magnitud.

Queda más que claro,  que la empresa es responsable de la suerte de sus componentes o de las personas que realizan actividades bajo su tutela. En este sentido  no podemos omitir que muchas de las organizaciones empresariales encomiendan a sus directivos y empleados trabajos que implican tener que desplazarse a países exteriores en los que se tiene intereses comerciales o económicos.

Pero  en la delegación de estas misiones está en la mayoría de casos, ausente la valoración de los riesgos a los que exponemos a los  miembros de nuestras organizaciones. Pero  no solo tenemos que central la atención en los riesgos inherentes al  propio viaje o  a la salud de las personas cuando  están desplazadas, sino que uno de los mas complejos sucesos que pueden surgir es el  riesgo de secuestro o extorsión.

Si bien este riesgo  se puede manifestar en cualquier país del  mundo, incluido  España, prestemos atención a un dato que por su frialdad podría considerarse insignificante. Mexico en el año 2014 computo oficialmente 1.698 secuestros y 8.196 extorsiones, estos datos son los oficiales pero se calcula que podríamos multiplicar esta cifra por  3 y tal vez nos quedaríamos cortos en la valoración final.

Entre los 20  países que lideran la peligrosidad en esta materia según datos de ControlRisks https://riskmap.cotrolrisks.com se encuentran los siguientes:

1/ México           2/ India                                3/ Nigeria            4/ Pakistán         5/ Venezuela    6/ Líbano

7/ Filipinas          8/ Afganistán    9/ Colombia       10/ Irak                                11/ Siria               12/ Guatemala

13/ Yemen         14/ Libia               15/ Egipto           16/ Brasil             17/ Kenia            18/ Nepal

19/ Malasia        20/Sudáfrica

Estos países por ser los más peligrosos no son los únicos,  dado que países como Mauritania, Sierra Leona, Rusia, Armenia, Ucrania, Kazakstán, Argelia, Mauritania y un largo etc.. son países catalogados de peligrosos para la seguridad personal.

En este sentido convendrá muy  mucho,   hacer un análisis de los riesgos inherentes a las personas desplazadas,  antes de poner en riesgo la integridad de nuestros colaboradores y por añadidura los recursos económicos de la empresa para solucionar un suceso de esta naturaleza. 

Valoración de la responsabilidad de los administradores sociales y directivos

Una de las dificultades para las empresas a la hora de establecer criterios para valorar y cuantificar  las posibles responsabilidades de los administradores sociales y directivos de las empresas, pasa por no tener indicadores validos que permitan objetivar  los limites y principios de exposición a los que están sometidos.

Un estudio en esta materia realizado por Vameco-Protector ha culminado con una metodología que permite a las organizaciones empresariales cuantificar este tipo de responsabilidades y poder establecer criterios de adaptación tanto de los controles internos y externos para evitar exponerse a los riesgos, como  criterios objetivos de decisión en los  límites de aseguramiento recomendados.

En este sentido el estudio analiza los siguientes elementos de la actividad para establecer los criterios de protección:

1.       Niveles de gravedad y vulnerabilidad de la actividad de la organización según los parámetros de responsabilidad general  y de responsabilidad medioambiental

2.       Valores de exposición al riesgo en seis apartados

Ø  Financiero

Ø  Mercado

Ø  Patrimonio

Ø  Medioambiente

Ø  Penal

Ø  Cumplimiento normativo

3.       Valoración de los riesgos en la estrategia empresarial

4.       Valoración económica-financiera de apalancamiento, eficiencia, equilibrio financiero, retorno de la inversión y riesgo en operaciones económicas

5.       Valoración de los controles internos

6.       Valoración de la calidad de la transferencia del riesgo

Estos principios fundamentales inductores a responsabilidad en las decisiones y gestión de los administradores y directivos, son completados por un análisis  cuantitativo por coeficientes, que permite hallar  tres conceptos determinantes del nivel de riesgo que cada organización tiene según sus propias características intrinsecas:

1)      Valor máximo expuesto por la organización

2)      Perdida máxima posible

3)      Siniestro máximo  probable

Una vez obtenido el principio cuantitativo de la organización, que establecerá los limites de aseguramiento y niveles de control sobre los riesgos, es necesario establecer la tolerancia al riesgo del empresario, los administradores y su equipo directivo, con el objetivo de limitar el escenario de las acciones correctoras que amplíen el  control sobre los riesgos, así como  los importes necesarios de aseguramiento , franquicia y exceso de pérdidas que la organización está dispuesta a incorporar .

En definitiva esta metodología no solo permite optimizar los recursos económicos de aseguramiento y establecer criterios lógicos en sus límites, sino que además identifica los controles necesarios que deben seguirse para evitar incurrir en acontecimientos que pongan en peligro tanto  el patrimonio empresarial como  el patrimonio personal de aquellas personas que administran y dirigen la organización.

Con este sistema pasamos de valorar a ciegas a una valoración organizada y objetiva 

Cambia el Artículo 31 del Código Penal.

A partir de ahora, el Administrador de una sociedad responderá personalmente de los delitos imputados a la sociedad a la que representa.

La reforma introducida en el artículo 31 del Código Penal establece la responsabilidad penal de las personas jurídicas y los administradores de hecho o derecho o persona que actúe en nombre o representación legal o voluntaria de otro.

En este sentido, el artículo 31 del Código Penal establece lo siguiente:

“El que actúe como administrador de hecho o de derecho de una persona jurídica, o en nombre o representación legal o voluntaria de otro, responderá personalmente, aunque no concurran en él las condiciones, cualidades o relaciones que la correspondiente figura de delito requiera para poder ser sujeto activo del mismo, si tales circunstancias se dan en la entidad o persona en cuyo nombre o representación obre.”

El artículo 31 bis del Código Penal, dispone los supuestos en los que las personas jurídicas serán penalmente responsables:

a)     Delitos cometidos en nombre o por cuenta de las mismas, en beneficio directo o indirecto, por los representantes legales o personas autorizadas para tomar decisiones u ostentan facultades de organización y control dentro de la misma.

b)     Delitos cometidos en el ejercicio de actividades sociales y por cuenta y en beneficio directo o indirecto de las mismas por quienes estando sometidos a la autoridad de las personas que se indican en el apartado a), han podido realizar los hechos por haberse incumplido gravemente por aquéllos los deberes de supervisión, vigilancia y control de su actividad.

No obstante lo anterior, si el delito hubiese sido cometido por las personas mencionadas en el apartado a), la persona jurídica QUEDARÁ EXENTA de responsabilidad si se cumplen las siguientes condiciones:

1.ª) El órgano de administración ha adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o para reducir de forma significativa el riesgo de su comisión;

2.ª) La supervisión del funcionamiento y del cumplimiento del modelo de prevención implantado ha sido confiada a un órgano de la persona jurídica con poderes autónomos de iniciativa y de control o que tenga encomendada legalmente la función de supervisar la eficacia de los controles internos de la persona jurídica;

3.ª) Los autores individuales han cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención y

4.ª) No se ha producido una omisión o un ejercicio insuficiente de sus funciones de supervisión, vigilancia y control por parte del órgano al que se refiere la condición 2.ª

Si el delito hubiese sido cometido por las personas mencionadas en el apartado b), la persona jurídica QUEDARÁ EXENTA de responsabilidad si, antes de la comisión del delito, ha adoptado y ejecutado eficazmente un modelo de organización y gestión que resulte adecuado para prevenir delitos de la naturaleza del que fue cometido o para reducir de forma  significativa el riesgo de comisión.

Por lo tanto, la norma nos lleva a la necesidad de las personas jurídicas a implementar MODELOS DE ORGANIZACIÓN Y GESTIÓN que deberán cumplir los siguientes requisitos:

1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2.º Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3.º Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4.º Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5.º Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

6.º Realizarán una verificación periódica del modelo y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

Es lo que se conoce como manual de COMPLIANCE PENAL, un conjunto de normas internas establecidas por el órgano de administración con la finalidad de implantar un modelo eficaz de organización y gestión que incluye medidas de vigilancia y control idóneas para la prevención de delitos en el seno de la persona jurídica.