El INC (Instituto Nacional de Ciberseguridad del Ministerio de Industria, Energía y Turismo de España), define el término amenaza como “la circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor”.
Estas amenazas unidas a los posibles defectos o vulnerabilidades internas de la persona jurídica conllevarán una serie de consecuencias negativas o impactos.
En el ámbito del Compliance, estas consecuencias negativas o impactos pueden y suelen ser de diferente índole:
- Pérdidas financieras, declaraciones de insolvencia.
- Daños reputacionales.
- Devaluación de la marca e imagen de la empresa.
- Interrupción del servicio o prestación defectuosa del mismo.
- Pérdida de empleados valiosos y otros activos de la empresa.
- Sometimiento a procesos judiciales largos y costosos.
Las amenazas vendrán identificadas por las actividades que implican un riesgo penal, que deben ser correctamente identificadas y evaluadas.
Las vulnerabilidades de la empresa sólo se ponen de manifiesto tras un análisis profundo de su organigrama, protocolos y personal.
Análisis de impactos en el mapa de riesgos
La plataforma Supervisor Jurídico contiene un mapa de riesgos que permite al Compliance Officer que confecciona el modelo de organización y prevención de delitos evaluar los riesgos penales de la empresa a simple vista. Se trata de un mapa de riesgos que relaciona los delitos prescritos en el Código Penal con la información de la empresa que se introduce y que ofrece como resultado una clasificación de las actividades de la persona jurídica susceptibles de riesgo penal.
Este mapa ofrece al Compliance Officer un método sencillo y automático cuyo resultado es una representación de la frecuencia o probabilidad de que determinados hechos delictivos se cometan en la empresa así como la repercusión penal que para la misma puede tener la comisión de esos hechos.
Así se determinará de forma concreta el nivel de riesgo que la empresa está dispuesta a soportar para la llevanza de sus negocios, realizándose un análisis cuantitativo que sin duda resulta muy útil. Es lo que se conoce como “apetito de riesgo”. Este apetito de riesgo debe ser identificado por las empresas no como la permisividad de ilegalidad que están dispuestos a asumir sino como las probabilidades que puedan darse de que conductas penales se cometan una vez tomadas todas las medidas para evitarlo.
Tanto el Compliance Officer como la empresa pueden visualizar en el mapa de riesgos la frecuencia o probabilidad de comisión de cada delito seleccionado y la repercusión de la pena que podría llegar a serle impuesta a las personas jurídicas caso de que el modelo de prevención llegará a ser vulnerado, según la propia tipìficación del Código Penal vigente.
Otra ventaja indiscutible del mapa de riesgos se concreta en la posibilidad de ver los controles que la empresa está desarrollando para cada delito con sólo marcar el delito en el mapa. Así la labor del Compliance Officer de supervisar el modelo resulta más ágil y eficiente. Si un control resulta modificado dentro del mapa de riesgos y se sitúa en una zona de mayor frecuencia y más tipicidad, indicará al responsable de cumplimiento normativo la necesidad de adoptar nuevas medidas para mejorar el control o incluso cambiarlo por otro tipo de control o abrir no conformidades y procedimientos sancionadores en el seno de la empresa.