COMPONENTS D’UN SISTEMA DE GESTIÓ DE COMPLIANCE (III): IDENTIFICACIÓ I ANÀLISI DE RISCOS

Com a tercera entrega del conjunt d’articles relatiu als elements essencials que han de conformar tot bon Sistema de Gestió de Compliance  (SGC), mereix la pena aturar-nos en aquest moment en la Identificació i Anàlisi de Riscos, conseqüència directa del Context elaborat amb anterioritat. Si bé aquest pas previ podria identificar-se en termes mèdics amb l’anamnesi o exploració clínica, en aquests moments ens trobaríem en la fase de diagnòstic.

L’objectiu de la identificació del risc és conèixer els successos que es poden produir en l’organització i les conseqüències que puguin tenir sobre els seus objectius. Com a part de la informació documentada del SGC,  acreditarà que l’organització ha dut a terme una anàlisi detallada de si mateixa i ha tingut en compte els factors més concordes a les seves característiques per tal de determinar quins problemes mereixen la seva atenció immediata, quins poden atendre’s en el futur i finalment quins s’assumiran   sense més a causa de la seva relativa irrellevància.

Si en el futur es materialitza un risc, permetrà justificar les decisions que s’ hi van prendre respecte al mateix, i si aquestes van ser raonables  o no. En conseqüència, pot esdevenir una peça fonamental per a l’ exoneració o atenuació de la responsabilitat penal de l’ organització.

Per poder donar compliment a l’anterior, la identificació de riscos ha de ser el resultat directe de l’aplicació de valors mesurables sobre la informació obtinguda a través del Context,d’aquí la importància que el seu contingut sigui el més fidedigne possible.

Per tant, abans de res s’haurà de decidir com canalitzar aquesta informació, com interpretar-la per tal d’obtenir un resultat objectiu, i per a això el pas previ serà determinar la metodologia d’anàlisi, els valors i mesuraments que s’utilitzaran.

Quant a les metodologies, n’hi ha diverses i totes poden ser igual de vàlides i útils, toti que depenent de la ma teria i objecte del’anàlisi, unas poden ser més orgànicas que una altras. Així, las més populars són l’anàlisi per  actius  i l’anàlisi per  processos.

En seu d’un SGC  Penal, que buscarà eminentment prevenir conductes delictives, el més lògic és que l’anàlisi es dugui a terme a partir dels processos de l’organització, i no dels seus actius; aquesta segona metodologia potser respondria a Sistemes amb objectius diferents, com pugui ser laCiberseguretat, doncs en aquest cas si resultaria més lògic conèixer els riscos que es deriven de cadascun dels components (Servidors,  routers, equips individuals, etc. ).

En tota anàlisi de risc s’ ha vingut utilitzant la fórmula següent:

RISC = PROBABILITAT * IMPACTE

En conseqüència, “probabilitat” i “impacte” seran les dues incògnites que s’hauran d’enlairar, i per a això se’ls hauran d’aplicar valors a través dels quals obtenir un resultat mesurable. Aquestes escales de valors poden ser numèriques (per exemple d’1 a 10, sent 1 ‘molt baix’ i 10 ‘molt alt’) o directament conceptuals (per exemple, remot – molt baix – baix – mitjà – alt – molt alt – crític). Més enllà de resultar més o menys còmodes al responsable de l’ anàlisi dels riscos, l’ important és que siguin prou flexibles com per abastar totes les realitats de l’ organització.

Centrant-nos en l’ anàlisi per processos, i sempre des de l’ exemple d’ un SGC Penal,  la probabilitat s’ haurà d’ obtenir en relació a cadascuna de les activitats que desenvolupen els diferents departaments de l’ organització. Cadascun d’aquests processos s’ha de valorar en funció de les seves característiques (per exemple,  rellevància del procés  en el desenvolupament de l a activitat del’organització,  el  nombre de persones  que hi participen, l’existència d’incidències en el  passat  , etc.). Al seu torn, caldrà tenir en compte la probabilitat de comissió de cadascun dels il·lícits en relació a la pròpia activitat i sector  de l’organització (perexemple, en una organització l’activitat de la qual es desenvolupien fàbriques, la probabilitat de comissió de delictes contra el medi ambienti seràmajor; el mateix ocorrerà en una organització dedicada al transport de mercaderies respecte al delicte de contraban). Així, entre les característiques del propi procés i les del delicte concret en relació a l’ organització determinarem finalment la Probabilitat.

L’ impacte s’ ha de mesurar d’ una altra manera. El seu valor dependrà no només de les conseqüències legals  derivades del Codi Penal, lespenes del qual varien des d’una major o menor sanció econòmica fins a la pròpia extinció de la Societat; també caldrà tenir en compte el dany  reputacional i tot el que això comporta: Per exemple, la materialització d’un risc concret pot resultar innocu de cara a la clientela, però pot suposar la pèrdua d’un proveïdor essencial o de la possibilitat de participar en una licitació futura; per contra, pot tenir un efecte catastròfic enfront del públic general malgrat no haver afectat cap altra part interessada.  Depenent de l’activitat de cada organització, els resulatspodran variar enormement, i com segurament s’intuïrà a aquestes alçades, les conseqüències paralegals poden ser crítiques amb independència d’una eventual sanció penal  lleu. Així, amb la combinació d’ aquests dos factors obtindrem l’  impacte de cadascun dels riscos.

De la posada en comú de Probabilitat i Impacte en resultarà el Risc, i aquest haurà de ser corregit amb els controls, els preexistents i els que es proposin per reduir-lo fins al nivell de risc que l’ organització està disposada a assumir, i que pel complex de la matèria tractarem amb més detall en un article independent.

Com es podrà comprovar, la identificació i anàlisi de riscos és una part fonamental del SGC, de contingut essencialment tècnic. Com més treballat, més gran serà la seva adaptabilitat i capacitat d’evolució en el futur, factor imprescindible doncs com ja hem dit en altres ocasions el SGC està viu i ha de ser revisat periòdicament.