Directora Legal Risk LAB y CEO S22 Digital
La gestión de riesgos se confunde generalmente con el compliance, porque en su nacimiento son casi sinónimos. Al fin y al cabo, el compliance consiste en la gestión de riesgos operacionales y legales que se realiza en el marco de la empresa. La redacción del artículo 31 bis del Código Penal y la regulación de la responsabilidad penal de las personas jurídicas, da lugar al desarrollo en el marco corporativo al Compliance Officer. Sin embargo, es cierto que la gestión de riesgos en la empresa puede recaer en el Departamento Jurídico siempre acompañado de otros Departamentos o Direcciones como el de Prevención de Riesgos Laborales, donde se trabaja en delimitar y determinar los riesgos a través de las llamadas matrices de riesgos o en su caso de los mapas de riesgo. No obstante, se trata de una cuestión meramente interna de la empresa y esto supone la inherente dificultad que los parámetros fijados para la determinación del riesgo dependan del análisis interno de cada empresa. En consecuencia, la gestión de riesgo debe ir más allá de esta mera actividad interna de la empresa, y elevarla a una disciplina jurídica autónoma.
Las razones para abogar por la gestión de riesgos como una disciplina jurídica autónoma, son tres: i) la aparición de la gestión de riesgos en textos legales, ii) la necesidad de uniformizar la gestión de riesgos y los criterios internos con los externos para ofrecer una imagen fiel del patrimonio y de la empresa en sí misma en gestión de riesgos, y iii) la trascendencia de la gestión de riesgos como pasos previos para ofrecer una mayor transparencia de las entidades privadas y públicas.
En cuanto al primer motivo, la aparición paulatina de la gestión de riesgos en nuestra legislación supone un cambio de paradigma en nuestro ordenamiento. No obstante, el análisis del riesgo ha sido cubierto por distinta normativa y legislación de un modo fragmentado, y sin abordar realmente una cultura del riesgo como vehículo unificador de la legislación. Esta fragmentación normativa se manifiesta en algunos ejemplos como la información no financiera (análisis de riesgos en el marco de la información no financiera con base en Ley 11/2018, de 28 de diciembre, por la que se modifica el Código de Comercio, el texto refundido de la Ley de Sociedades de Capital aprobado por el Real Decreto Legislativo 1/2010, de 2 de julio, y la Ley 22/2015, de 20 de julio, de Auditoría de Cuentas, en materia de información no financiera y diversidad); o el artículo 12.C.4 del Código Deontológico de la Abogacía Española de 2019 sobre los conflictos de intereses de la abogacía cuando señala: “No podrán desempeñarse encargos profesionales que impliquen actuaciones contra un anterior cliente, salvo que se asegure que no hay riesgo de que el secreto de las informaciones obtenidas en la relación con el antiguo cliente pueda ser vulnerado; o cuando de ninguna manera pudiera resultar beneficiado el nuevo cliente con aquellas informaciones. A estos efectos se tomará en cuenta el tipo de los asuntos en que se haya intervenido y el tiempo transcurrido. En ningún caso se podrá asumir encargos profesionales que impliquen actuaciones contra un anterior cliente en el seno del procedimiento en que se haya intervenido en defensa de éste, ni en los incidentes, recursos, ejecuciones o nuevos procedimientos que de él traigan su causa”.
Continuando esta tendencia la AEPD ha desarrollado Guía práctica de análisis de Riesgos en los tratamientos de datos personales sujetos al RGPD[1] y en el marco de la ciberseguridad, INCIBE ha hecho lo propio mediante la Gestión de riesgos. Una guía de aproximación para el empresario[2]. No obstante, no podemos dejar de precisar que el riesgo aparece en el Derecho Penal tanto en el marco del dolo eventual como en la regulación de los llamados delitos de riesgos frente a los delitos de resultado recogidos en el Título XVII del Código Penal bajo la rúbrica “De los delitos contra la seguridad colectiva”. Esto nos permite hablar de un desarrollo de la cultura del riesgo en el marco de la sociedad.
Respecto a la segunda razón: la necesidad de uniformizar los criterios internos y externos de la empresa. Una gestión de riesgos puramente interna, basadas en metodologías alternativas, ofrecen un riesgo en sí mismo derivados de su propia inexactitud. Si buscamos una analogía en contabilidad, supondría señalar que las reglas de contabilidad analítica carecieran realmente de un Plan General de Contabilidad que las sustentara. El impacto directo sobre la credibilidad del sistema, la seguridad jurídica, así como la verdadera responsabilidad social corporativa necesitan de un Plan General de Riesgos, donde se establezcan la delimitación de los riesgos por sectores y a nivel empresarial.
Por último, abogar por una mayor transparencia en entidades privadas significa avanzar en una sociedad más justa y con mayores alternativas para todos y todas las ciudadanas. La gestión de riesgos no puede ser “un riskmanagementwashing”, igual que la sostenibilidad no puede ser un criterio de marketing, y tiene que estar fundamentado en principios rectores y en una serie de reglas jurídicas, que deben ir más allá de meras interpretaciones de la diligencia debida, y el Derecho debe ir más allá de un análisis cualitativo acercándonos a un examen cuantitativo de la gestión de riesgos. Es, por ello, que desde Legal RiskLab, un think tank jurídico y tecnológico, abordamos la gestión de riesgos como disciplina autónoma.
16 de febrero de 2021.
[1] AEPD: https://www.aepd.es/sites/default/files/2019-09/guia-analisis-de-riesgos-rgpd.pdf
[2] INCIBE: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_ciberseguridad_gestion_riesgos_metad.pdf