Gestión Del Riesgo. Modelo de Prevención Y Control

MD.PlantillaTexto(04)Esp.
dot
GESTIÓN DEL RIESGO.

MODELO DE PREVENCIÓN Y CONTROL
UD017835_V(01)
GESTIÓN DEL RIESGO. MODELO DE PREVENCIÓN Y CONTROL
ÍNDICE
TU RETO EN ESTA UNIDAD ........................................................................ 3

1. LA SELECCIÓN DE MEDIDAS ................................................................. 5
1.1. CONTROLES DE PREVENCIÓN....................................................................... 9
1.1.1. CAMBIOS EN LA POLÍTICA DE COMPLIANCE.................................................. 9
1.1.2. CONTROLES ORGANIZATIVOS ................................................................... 10
1.1.3. FORMACIÓN E INFORMACIÓN.................................................................... 11
1.1.4. CONTROLES SOBRE PROCESOS ................................................................. 12
1.2. CONTROLES DE REACCIÓN ......................................................................... 13
1.2.1. RÉGIMEN DISCIPLINARIO .......................................................................... 13
1.2.2. INCENTIVOS ............................................................................................ 17
1.3. CONTROL DE DETENCIÓN ........................................................................... 18
1.3.1. INDICADORES DE RIESGO Y MONITORIZACIÓN............................................. 18
1.3.2. CANAL DE DENUNCIAS ............................................................................. 19
2. TABLA FINAL ....................................................................................... 20
3. MEJORA Y REVISIÓN ........................................................................... 25
¿QUÉ HAS APRENDIDO? .......................................................................... 27
AUTOCOMPROBACIÓN............................................................................ 29
SOLUCIONARIO ....................................................................................... 33
BIBLIOGRAFÍA ......................................................................................... 35
1
TU RETO EN ESTA UNIDAD
En la unidad anterior nos adentramos en las fases de identificación, análisis y

evaluación de los riesgos. Lo que estudiaremos en esta unidad son las medidas
a aplicar una vez identificada la necesidad de tratamiento de un concreto riesgo,
lo que resultará relevante a la hora de determinar la eficacia del sistema de
compliance, ya que una mala elección de las medidas a adoptar puede crear una
falsa sensación de confianza en los miembros de la organización que no evitará
la materialización de los riesgos.
¿Conoces cuáles son las medidas más adecuadas y cómo deben seleccionarse?
¡Adelante!
3
1. LA SELECCIÓN DE MEDIDAS
Para determinar las medidas a aplicar (tratamiento del riesgo) es preciso par-
tir de la evaluación concreta del riesgo, es decir, una vez hemos determinado
si procede o no aplicar una medida, teniendo en cuenta la probabilidad de que
se materialice el riesgo, las consecuencias que se derivan del mismo, la eficacia
de los controles existentes en la organización, así como el criterio o apetito de
riesgo.
A título de ejemplo, partiremos de la siguiente tabla:
Núm. de Apetito Análisis

Riesgo Evaluación
referencia del riesgo del riesgo
No es necesario
2003 Concentraciones 5 2 implementar
medidas
Se deben
Abuso de posición
2004 5 8 implementar
dominante
medidas
Se deben
2006 Prácticas colusorias 5 12 implementar
medidas
5
¿Qué entendemos por “prácticas colusorias”? Se trata

de acuerdos entre empresas que pueden impedir o
falsear la competencia en todo o parte del mercado
nacional.
Ej. Aplicar en las relaciones comerciales condiciones
desiguales para prestaciones equivalentes, de forma
que unos competidores estén en situación de des-
ventaja frente a otros.
Estos acuerdos restrictivos de la competencia son
nulos salvo que estén amparados por exenciones le-
gales que contribuyan a mejorar la productividad o el
progreso técnico, sin ocasionar perjuicio a consumi-
dores o usuarios, al contrario, que puedan participar
de sus ventajas.
6
Otros ejemplos de tablas de análisis de riesgos son las siguientes:
Matriz de riesgos Actividades especiales (Diligencia debida)
COD. Transacciones o Socios de

Riesgos RRHH (3) Probabilidad
RIES. proyectos (1) negocio (2)
Descubrimiento y revelación de
R1 X X BAJA
secretos
R2 Defraudaciones X X MEDIA
Daños contra datos, programas

R3 X BAJA
informáticos
R4 Delito de Corrupción en los negocios X BAJA
R5 Cohecho BAJA
Delito contra el mercado y los

R6 X X X BAJA
consumidores
Delitos contra los derechos de los

R7 X MEDIA
trabajadores
R8 Blanqueo de capitales BAJA
Delitos contra la propiedad intelectual

R9 X BAJA
e industrial
R10 Frustración de la ejecución BAJA
Delitos contra la Hacienda pública y la

R11 BAJA
Seguridad Social
R12 Insolvencia punible BAJA
R13 Tráfico de influencias X BAJA
R14 Financiación de partidos políticos BAJA
R15...R31 Resto riesgos del R15 al R31 BAJA
(1)
Transacciones, proyectos o actividades especificas
(2)
Relaciones de negocio actuales o planificadas con determinados socios de negocio.
(3)
Categorías de personal en posiciones específicas.
La valoración de la probabilidad se realiza teniendo en cuenta estos valores:
 Baja: existe la posibilidad de que haya un incidente o delito en un plazo de cinco años.
 Media: existe la posibilidad de que haya un incidente o delito en un plazo de tres años.
 Alta: existe la posibilidad de que haya un incidente o delito en el plazo de un año.
* Ver Anexo: Metodología Análisis de Riesgos
7
Matriz de Riesgos por Departamentos
COD. Desarrollo Desarrollo Soporte al Call

Riesgos Gerencia Comercial Probabilidad
RIESGO corporativo de producto cliente Center
Descubrimiento y revelación
R1 X X X X ALTA
de secretos
R2 Defraudaciones X X X ALTA
Daños contra datos,

R3 X X X ALTA
programas informáticos
Delito de Corrupción en los

R4 X X ALTA
negocios
R5 Cohecho X X ALTA
Delito contra el mercado y

R6 X X X X MEDIA
los consumidores
Delitos contra los derechos

R7 X MEDIA
de los trabajadores
R8 Blanqueo de capitales X X MEDIA
Delitos contra la propiedad

R9 X X X MEDIA
intelectual e industrial
R10 Frustración de la ejecución X X MEDIA
Delitos contra la Hacienda

R11 X X MEDIA
pública y la Seguridad Social
R12 Insolvencia punible X X MEDIA
R13 Trafico de influencias X X X BAJA
Financiación de partidos
R14 X X BAJA
políticos
R15... R31 Resto riesgos del R15 al R31 BAJA
La valoración de la probabilidad se realiza teniendo en cuenta estos valores:
 Baja: existe la posibilidad de que haya un incidente o delito en un plazo de cinco años.
 Media: existe la posibilidad de que haya un incidente o delito en un plazo de tres años.
 Alta: existe la posibilidad de que haya un incidente o delito en el plazo de un año.
* Ver Anexo: Metodología Análisis de Riesgos
Una vez hemos identificado los riesgos que van a necesitar ser tratados, se valo-
rará la implantación de todos o algunos de los siguientes controles:
1. Controles de prevención: Política del compliance, controles organiza-

tivos, formación, información o controles sobre los procesos.
2. Controles de reacción: Medidas disciplinarias e incentivos.
3. Controles de detención: Monitorización del compliance, indicadores

de riesgo y un canal de denuncias.
8
A título de ejemplo, el resultado de dicha valoración puede quedar reflejada en

una tabla similar a la siguiente:
Referencia del Control de Control de

Controles de prevención
riesgo reacción detención
Formación: Curso online de Canal de

2002 Incentivos
200h. denuncias
Control en el proceso:
2003 Disciplinarias Monitorización
Doble verificación
Controles organizativos:
2004 Administración Disciplinarias Monitorización
mancomunada
1.1. CONTROLES DE PREVENCIÓN
1.1.1. CAMBIOS EN LA POLÍTICA DE COMPLIANCE
La ISO 19600 establece que el órgano de gobierno (órgano de administración) y

la alta dirección, en principio, son los competentes para elaborar y autorizar la
política de compliance de la organización.
Son requisitos mínimos de la citada política de compliance:
1. Alcance del sistema de compliance.
2. La aplicación y el contexto del sistema en relación con el tamaño, la na-

turaleza y la complejidad de la organización.
3. Las auditorías.
4. El grado en el que el compliance estará impregnado sobre las políticas,

procedimiento y operaciones de la empresa.
5. El grado de independencia del órgano de compliance.
6. Las responsabilidades.
7. La normativa exigida.
8. Las consecuencias.
9
Cambios habituales en políticas de compliance son

las siguientes:
 La periodicidad con la que se van a tener que
realizar las auditorías.
 Los requisitos que éstas van a tener que cum-
plir.
 El régimen de incompatibilidades de los miem-
bros del órgano de compliance.
 Cambios en la normativa legal aplicable.
 Y, por último, el alcance del compliance.
1.1.2. CONTROLES ORGANIZATIVOS
La forma en la que se organiza una empresa puede incrementar la probabilidad

con la que se pueden materializar los riesgos detectados.
Es más habitual que el órgano de administración de

una persona jurídica cometa una infracción penal si
el mismo está encomendado a un administrador úni-
co o varios solidarios. Por el contrario, si el órgano de
administración está compuesto por un consejo o por
varios administradores mancomunados, la exposi-
ción al riesgo se ve notablemente reducida.
Lo mismo ocurre en aquellos casos en que los cargos de órgano de compliance

y de órgano de administración de la organización concurran en una/s misma/s
persona/s, lo que resulta habitual en pymes; de ahí que la autonomía y la inde-
pendencia del órgano de compliance resulten tan relevantes.
10
1.1.3. FORMACIÓN E INFORMACIÓN
La formación e información constante a los miembros de una organización fo-

menta y ayuda a que estos se comporten de la forma correcta previniendo la
comisión de delitos.
La evolución de las tecnologías permite actualmente

no solo realizar una formación presencial, sino tam-
bién a través de medios telemáticos.
Como venimos relatando en unidades anteriores, la ISO 19600 recomienda do-

cumentar todas las fases de implantación, seguimiento, mejora y revisión del
sistema de compliance. En el entorno de la formación e información a los
miembros de la organización, esta documentación puede llevarse a cabo de la
siguiente manera:
 Realizar una lista de asistencia.
 Hacer obligatoria la participación.
 Realizar casos prácticos, que demuestren que se ha entendido la mate-

ria explicada.
 Realizar test sobre los temas tratados.
Debemos asegurarnos que estos registros no van a ser manipulados por los
miembros de la organización que acudan a la formación.
No obstante, pese a que los cursos formativos son importantes, este no es el

único elemento del que dispone la organización para formar e informar a sus
miembros acerca de cuestiones relacionadas con el compliance, también tiene a
su disposición otros elementos, entre los que destacan:
 Mensajes recordatorios. Con ello se busca evitar que los miembros de

la organización que hayan recibido la formación correspondiente olviden
lo que han aprendido en las mismas, por el transcurso del tiempo.
11
 Folletos. Los Códigos de Conducta o Éticos, así como los sistemas de

compliance (programas de cumplimiento normativos) puede ser bastan-
te extensos. Por ello, es recomendable ofrecer folletos informativos
donde se haga un resumen lo más visual posible de los mismos.
 Avisos. Nos referimos a cualquier tipo de señal o adhesivo que advierta

y recuerde cómo se debe actuar ante determinadas situaciones de
riesgo.
Imaginemos que en el departamento encargado de

contactar con proveedores existe un cartel donde se
recuerda que, a partir de determinada cantidad de
negocio, se debe solicitar una due diligence a los pro-
veedores, es decir, una auditoría o investigación lle-
vada a cabo por auditores externos para verificar que
determinadas áreas de la empresa cumplen con sus
obligaciones, con la “diligencia debida”.
 Popups y salvapantallas. Por ejemplo, a los efectos de evitar infraccio-

nes de la Ley de Prevención de Blanqueo de Capitales y Financiación
del Terrorismo, es posible articular un sistema popups que obligue a
realizar un control KYC “Know Your Customer” (es decir, “Conozca a su
cliente”) cada vez que un miembro de la organización entable relación
con un nuevo cliente (muy habitual en entidades bancarias).
1.1.4. CONTROLES SOBRE PROCESOS
La mayoría de los controles sobre procesos están basados en un sistema de

doble verificación que consiste en lo siguiente: Para llevar a cabo una determi-
nada acción es necesario el consentimiento o visto bueno de varios miembros
de la organización.
12
Supongamos un compliance en materia de consumo:

La normativa de defensa del consumidor y usuario
tipifica como infracción los actos de competencia
desleal que afecten a aquellos. Asimismo, dentro de
la normativa de competencia desleal se reputa como
un comportamiento desleal que afecta al consumidor
las denominadas prácticas señuelo, esto es, aquella
publicidad que oferta un bien a un determinado pre-
cio, cuando en realidad no va a estar disponible por
dicho precio.
Para evitar que se pueda materializar este riesgo, así
como la infracción descrita, es recomendable que las
campañas de marketing y publicidad, una vez realiza-
das, y antes de ser difundidas, sean verificadas por el
departamento de asesoría jurídica de la organización.
En materia de compliance penal, para evitar un deli-
to de insolvencia punibles, sería recomendable que
ante determinadas operaciones se tuviera el visto
bueno previo del departamento de contabili-
dad/financiero para asegurarse que la empresa no se
encuentra en una situación de insolvencia actual o
inminente.
1.2. CONTROLES DE REACCIÓN
Los controles de reacción pueden ser de dos tipos: disciplinario o de incentivos.
1.2.1. RÉGIMEN DISCIPLINARIO
El propio artículo 31 bis del Código Penal establece que en los compliance pena-
les deberá haber un sistema disciplinario que sancione adecuadamente en caso
de que se detecte un incumplimiento del sistema. Las diferentes normas
ISO/UNE sobre compliance (19600, 19601 y 19602) también contemplan la posi-
bilidad de que exista un régimen disciplinario.
13
A estos efectos, es importante tener en cuenta que, en numerosas ocasiones, el

eventual incumplimiento va a ser cometido por alguno de los empleados de la
organización, por lo que necesariamente entrará en juego la legislación laboral
que resulte aplicable. En concreto, el artículo 58.1 del Estatuto de los Trabajado-
res establece que los trabajadores podrán ser sancionados por la dirección de
las empresas en virtud de incumplimientos laborales, de acuerdo con la gradua-
ción de faltas y sanciones que se establezcan en las disposiciones legales o en el
convenio colectivo que sea aplicable.
De este modo la Dirección de la empresa únicamente va a poder sancionar a los

trabajadores por el incumplimiento del compliance cuando así este previsto en
la legislación o en los convenios colectivos (principio de tipicidad).
Es por ello por lo que muchos Códigos de conducta hacen una advertencia de la
posibilidad de aplicar el régimen sancionador recogido en el convenio o en las
disposiciones legales cuando se produzca un incumplimiento del sistema de
compliance.
En el artículo 39 del Código ético de Iberdrola se

dice:
Cuando la Unidad de Cumplimiento determine que un
profesional del Grupo ha realizado actividades que con-
travengan lo establecido en la ley o en el Código ético,
encomendará a la Dirección de Recursos Humanos, o a
la dirección responsable de la función de recursos hu-
manos de la sociedad del Grupo que corresponda, la
aplicación de las medidas disciplinarias conforme al ré-
gimen de faltas y sanciones previsto en el convenio colec-
tivo de la sociedad a la que pertenezca el profesional o
en la legislación laboral aplicable.
En el artículo 1 del Código ético de Garrigues se
dice:
En el caso de profesionales con relación laboral, tal vul-
neración se considerará constitutiva de infracción labo-
ral, resultando aplicable la sanción que proceda con-
forme a la normativa laboral vigente en el país donde
el/la profesional preste servicios o haya sido contratado
(según proceda).
14
Es decir, será preciso acudir a la legislación laboral, en particular al convenio

colectivo que resulte de aplicación para poder sancionar, lo que necesariamente
determinará la existencia de una serie de límites, como el principio de tipicidad
anteriormente citado, así como otros recogidos expresamente en el artículo
58.3 del Estatuto de los Trabajadores, que establece que no se podrán imponer
sanciones que consistan en la reducción de la duración de las vacaciones u otra
minoración de los derechos al descanso del trabajador o multa de haber (san-
ción económica). También habrá que tener en cuenta la prescripción contem-
plada en el artículo 60 del Estatuto de los Trabajadores: las faltas leves prescri-
ben a los 10 días, las graves a los 20 días y las muy graves a los 60 días.
Sobre la tipicidad, a día de hoy es difícil encontrar un convenio colectivo que

expresamente contemple una sanción en caso de incumplimiento de la norma-
tiva de compliance, pero lo cierto es que la mayoría de convenios colectivos sí
introducen cláusulas sancionadoras generales, donde pueden tener cabida es-
tos incumplimientos.
A modo de ejemplo, el convenio colectivo del sec-

tor de empresas de ingeniería y oficinas de estu-
dios técnicos, dispone lo siguiente:
Son faltas graves:
Las cometidas contra la disciplina en el trabajo o contra
el respeto debido a sus mandos superiores.
La negligencia en el trabajo cuando cause perjuicio grave.
Son faltas muy graves:
El fraude, la deslealtad y abuso de confianza en las ges-
tiones encomendadas.
El hurto y el robo tanto a las demás personas trabaja-
doras como a la empresa o a cualquier persona dentro
de los locales de la empresa o fuera de la misma, duran-
te acto de servicio. Quedan incluidos en este inciso el fal-
sear datos ante la representación legal de los trabajado-
res, si tales falsedades tienen como finalidad maliciosa el
conseguir algún beneficio.
15
Para determinar cuál será la sanción aplicable a estas infracciones deberemos

acudir a la ley o convenio donde se encuentre tipificada la infracción.
Debe hacerse una mención especial al personal de alta dirección, los directivos.
El artículo 13 del Real Decreto 1382/1985, de 1 de agosto, por el que se regula
la relación laboral de carácter especial del personal de alta dirección, establece
que el alto directivo podrá ser sancionado en virtud de incumplimiento de las
obligaciones derivadas de esta relación especial en los términos que se pacten
en el contrato. A diferencia del resto de empleados, donde las infracciones han
de estar expresamente tipificadas en una ley o en convenio colectivo que resul-
te de aplicación, para el personal de alta dirección basta con que esté tipificada
en el contrato suscrito por las partes. De ahí que sea recomendable introducir
diversas cláusulas en los contratos con directivos, donde se tipifiquen estas
conductas y se establezcan sus correspondientes sanciones.
Cláusula sancionadora (contrato con personal de alta

dirección).
En caso de que se tuviera conocimiento de hechos que
pudieran ser constitutivos de delito, y no se tomaran
medidas para su control y gestión conforme a lo recogi-
do en el sistema de compliance o código de conducta, la
empresa le impondrá una sanción de 30.000 euros.
Del mismo modo, en las relaciones con clientes, proveedores, contratas, sub-
contratas, etc. también es recomendable establecer cláusulas que permitan
imponer sanciones en caso de que se detecte un incumplimiento.
Por último, conviene aclarar que el ámbito de aplicación del régimen disciplina-
rio puede extenderse a todos los ámbitos de una organización, incluso a los
socios, teniendo su reflejo en los Estatutos Sociales.
16
1.2.2. INCENTIVOS
Frente a una política disciplinaria, también es posible la implantación de deter-

minados incentivos con el objetivo de promover el respeto y cumplimiento del
sistema de compliance entre los miembros de la organización.
A la hora de implantar una política de incentivos, es preciso delimitar previa-

mente los objetivos que la empresa desea alcanzar, así como establecer unos
indicadores que determinen cuál es el grado de cumplimiento de aquellos.
Con carácter previo, conviene recordar qué requisitos deben reunir los objeti-
vos de una organización en materia de compliance:
1. Específicos.
2. Medibles.
3. Alcanzables.
4. Relevantes.
5. Temporales.
En función de los objetivos de compliance fijados por la compañía, la organiza-

ción deberá crear unos indicadores de cumplimiento, los conocidos Key Per-
formance Indicator o KPIs. A título de ejemplo, son KPIs los siguientes:
 Número de cursos de compliance realizados.
 Porcentaje de proveedores con due diligence completada.
 Número de cursos de compliance impartidos.
 Número de investigaciones realizadas.
 Número de comunicaciones con el órgano de compliance.
 Número de denuncias al canal ético.
 Porcentaje de utilización de las herramientas del compliance.
Para implantar una política de incentivos basada en objetivos y los KPIs es re-
comendable elaborar una tabla de referencia, similar a la siguiente, a fin de
que esta se haga pública entre los miembros de la organización y poder así in-
centivar el cumplimiento del sistema de compliance.
17
Key Performance Indicator
Medidor Tiempo Nivel exigido Incentivo
Asistencia a cursos de compliance 1 año 3 200 euros
Número de denuncias en el canal ético 3 años 0 1.000 euros
1.3. CONTROL DE DETENCIÓN
1.3.1. INDICADORES DE RIESGO Y MONITORIZACIÓN
Los indicadores de riesgos también conocidos como Key Risk Indicators o KRIs,
nos ayudan a medir el nivel de riesgo que puede presentar una actividad, te-
niendo en cuenta la probabilidad de estar expuesto a dicho riesgo, las conse-
cuencias derivadas del mismo y las particularidades de la acción que se va a
realizar. Para ello, vamos a tener que tener en cuenta, por un lado, los indica-
dores cuantitativos (número de cursos que ha recibido una determinada per-
sona sobre compliance, número de controles que hay sobre esa actividad, nú-
mero de incumplimientos de ese miembro de la organización, etc.) y, por otro,
los denominados indicadores cualitativos (actitud, cultura de compliance,
comprensión, diligencia, etc.). Estos indicadores no deben de ser confundidos
con el análisis de riesgo, ya que los KIRs se aplican a situaciones concretas, an-
tes de que se realicen, a diferencia del análisis de riesgo, que supone un estudio
del riesgo a nivel general, no acción por acción.
Análisis de riesgo:
Analizar la probabilidad y las consecuencias de que la
empresa X cometa un delito de insolvencia punible.
Key Risk Indicators:
Analizar la probabilidad y las consecuencias de que
D. Luis cometa algún riesgo penal al realizar una
transferencia de 50.000 euros al proveedor X.
18
Por tanto, antes de realizar una determinada actuación en el seno de una orga-
nización, se deberá calcular cuáles son los KRIs, y en caso de que sobrepasen
los límites establecidos, abstenerse de llevar a cabo la misma, o establecer más
controles para evitar que se materialice el riesgo. Actualmente existen progra-
mas informáticos que ayudan a calcular los riesgos derivados de cada acción.
Es importante conservar estos procedimientos, pues, en caso de que finalmente

se materialice el riesgo penal, se podrá demostrar que se ha actuado conforme
a lo establecido.
1.3.2. CANAL DE DENUNCIAS
La norma UNE en materia de compliance penal regula la implementación de un

sistema de denuncias. En similar sentido se pronuncia nuestro vigente Código
Penal, en los términos que posteriormente han sido desarrollados por la Circular
de la Fiscalía del 1/2016, cuyo apartado 5 recoge “la obligación de informar de po-
sibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y
la observancia del modelo de prevención.” La existencia de unos canales de denun-
cia de incumplimientos internos o de actividades ilícitas de la empresa es uno de
los elementos clave de los modelos de prevención. Ahora bien, para que la obli-
gación impuesta pueda ser exigida a los empleados resulta imprescindible que la
entidad cuente con una regulación protectora específica del denunciante (whistle-
blower), que permita informar sobre incumplimientos varios, facilitando la confi-
dencialidad mediante sistemas que la garanticen en las comunicaciones (llamadas
telefónicas, correos electrónicos, etc.) sin riesgo a sufrir represalias.
Es decir, el canal de denuncias va a ser una herramienta esencial a la hora de

prevenir la materialización de riesgos, siempre respetando la confidencialidad
del denunciante y los derechos del denunciado.
Esta cuestión será tratada de manera específica en la unidad didáctica 10.
19
2. TABLA FINAL
El resultado de las actuaciones expuestas en esta unidad didáctica se detallará
en una tabla similar a la siguiente, que reflejará las medidas a adoptar en con-
creto para cada riesgo y el grado de eficacia de dichas medidas:
Núm. Eficacia
Medidas Riesgo
Referencia de las Implementación Testado
a tomar residual
del riesgo medidas
Curso online
ALTA EXISTENTE SI
de 200h.
Doble
ALTA IMPLEMENTADO SI
verificación
5002 BAJO
Indicadores
MEDIA IMPLEMENTADO SI
KRIs
Canal de
MEDIA POR IMPLMENTAR SI
denuncias
Otros elementos que podrían completar la citada tabla son la identificación la

persona responsable de cada medida, así como la expuesta al concreto riesgo.
20
Otros ejemplos de tablas identificativas de los riesgos, antes y después de la

aplicación de los correspondientes controles implementados son las siguientes:
Valoración del entorno de control ANTES APLICACIÓN. Tabla controles
Controles Efectividad control x riesgos
Cod. Control R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14
B.5.2 Política SGCP G G G G G G G G G G G G G G
B.5.3.2 Delegación Facultades R R R R R
B.7.1 Código de Conducta I I I I I I I I I I I I I I
B.7.3.1 Comp. Responsables G
B.7.3.2 Diligencia Debida RRHH I I I
B.7.4 Formación, Concienciación G G G G G G G G G G G G G G
B.7.6.3 Contratos Confidencialidad I I I
B.8.2 Diligencia Debida I I I I I I I I I I
B.8.3 Controles Financieros G G G G G G
B.8.5.1 Entidades Relacionadas I I I I I I I I I I
B.8.7 Canal de Denuncia- ÉTICO G G G G G G G G G G G G G G
B.9.1 Seguimiento y Medición G G G G G G G G G G G G G G
B.9.2 Auditorias G G G G G G G G G G G G G G
B.9.3 Revisiones G G G G G G G G G G G G G G
A.6.1.1 Roles y responsabilidades en SGSI G G G G G G G G
A.7.2.1 Responsabilidades gestión D D D D D D D D D D D D D D
A.8.1.3 Uso aceptable de los activos G G G
A.8.2.1 Clasificación de la información I I I I I
A.9.4.3 Sistema de Gestión de Contraseñas G G G G G
A.12.2.1 Controles contra Código Malicioso G G G G G G
A.12.6.1 Gestión de las vulnerabilidades téc. D D D D D
A.12.6.2 Restricción instalación soft. D D D D D
A.13.2.4 Acuerdos confidencialidad. G G G
A.13.2.3 Mensajería Electrónica D D D
A.16.1.5 Respuesta a incidentes Seguridad Inform. I I I I
A.18.1.3 Protección Registros Organización I I I I
Efectividad media D D D G D D D D D G D D D G
G: Gestionado I: Inicial D: Definido R: Reproducible
21
Valoración del entorno de control DESPUÉS APLICACIÓN. Tabla controles
Controles Efectividad control x riesgos
Cod. Control R1 R2 R3 R4 R5 R6 R7 R8 R9 R10 R11 R12 R13 R14
B.5.2 Política SGCP G G G G G G G G G G G G G G
B.5.3.2 Delegación Facultades R R R R R
B.7.1 Código de Conducta O O O O O O O O O O O O O O
B.7.3.1 Comp. Responsables G
B.7.3.2 Diligencia Debida RRHH R R R
B.7.4 Formación, Concienciación G G G G G G G G G G G G G G
B.7.6.3 Contratos Confidencialidad R R R
B.8.2 Diligencia Debida R R R R R R R R R R
B.8.3 Controles Financieros G G G G G G
B.8.5.1 Entidades Relacionadas I I I I I I I I I I
B.8.7 Canal de Denuncia G G G G G G G G G G G G G G
B.9.1 Seguimiento y Medición O O O O O O O O O O O O O O
B.9.2 Auditorias G G G G G G G G G G G G G G
B.9.3 Revisiones G G G G G G G G G G G G G G
Roles y responsabilidades en
A.6.1.1 G G G G G G G G
SGSI
A.7.2.1 Responsabilidades gestión G G G G G G G G G G G G G G
A.8.1.3 Uso aceptable de los activos G G G
Clasificación de la
A.8.2.1 D D D D D
información
Sistema de Gestión de
A.9.4.3 G G G G G
Contraseñas
Controles contra Código

A.12.2.1 G G G G G G
Malicioso
Gestión de las
A.12.6.1 G G G G G
vulnerabilidades téc.
A.12.6.2 Restricción instalación soft. G G G G G
A.13.2.4 Acuerdos confidencialidad. G G G
A.13.2.3 Mensajería Electrónica G G G
Respuesta a incidentes
A.16.1.5 R R R R
Seguridad Inform.
Protección Registros
A.18.1.3 R R R R
Organización
EFECTIVIDAD MEDIA G G G G G G G G G G G G G G
G: Gestionado I: Inicial D: Definido R: Reproducible R: Optimizado
22
El resultado de la aplicación de los controles expuestos dará lugar a las tablas

expositivas siguientes (ejemplos), relativas al riesgo inherente y riesgo residual:
Tabla de riesgo inherente (Antes de Aplicación de Controles). (Probabilidad x Impacto; Ver Anexo Metodología)
Regulación código Riesgo

Cod. Riesgos (tipos de delitos) Probabilidad Impacto Tratamiento
penal inherente
Elección de
R1 Descubrimiento y revelación de secretos 197 a 197 ter ALTA ALTO ALTO
controles
Elección de
R2 Defraudaciones 248 a 251 ALTA ALTO ALTO
controles
Elección de
R3 Daños contra datos, programas informáticos 264 a 264 ter ALTA ALTO ALTO
controles
Elección de
R4 Delito de Corrupción en los negocios 286 bis a 286 quáter ALTA ALTO ALTO
controles
Elección de
R5 Cohecho 424, 427 y 427 bis ALTA ALTO ALTO
controles
Elección de
R6 Delito contra el mercado y los consumidores 278 a 286 MEDIA ALTO MEDIO
controles
Elección de
R7 Delitos contra los derechos de los trabajadores 311 a 318 MEDIA MEDIO MEDIO
controles
Elección de
R8 Blanqueo de capitales 298 a 304 MEDIA MEDIO MEDIO
controles
Elección de
R9 Delitos contra la propiedad intelectual e industrial 270 a 277 MEDIA MEDIO MEDIO
controles
Elección de
R10 Frustración de la ejecución 257 a 258 MEDIA MEDIO MEDIO
controles
Delitos contra la Hacienda pública y la Seguridad Elección de

R11 305 a 310 bis MEDIA MEDIO MEDIO
Social controles
Elección de
R12 Insolvencia punible 259 a 261 MEDIA MEDIO MEDIO
controles
Elección de
R13 Trafico de influencias 429 a 430 BAJA MEDIO MEDIO BAJO
controles
Elección de
R14 Financiación de partidos políticos 304 bis BAJA MEDIO MEDIO BAJO
controles
Delitos sobre la ordenación del territorio y

R15 319 BAJA BAJO BAJO NO
urbanismo
Delitos contra los recursos naturales y el medio

R16 325 a 331 BAJA BAJO BAJO NO
ambiente
Delitos relativos a la energía nuclear y radiaciones

ionizantes
Delitos de riesgo provocados por explosivos y

otros agentes
Delitos contra la salud pública (delitos

R19 359 a 366 BAJA BAJO BAJO NO
alimentarios y farmacéuticos)
R20 Tráfico ilegal de órganos 156 bis BAJA BAJO BAJO NO
R21 Tráfico de drogas 368 a 369 bis BAJA BAJO BAJO NO
Falsificación tarjetas de crédito y débito y cheques

R22 386 a 399 bis BAJA BAJO BAJO NO
de viaje
R23 Delitos de incitación pública al odio 510 y 511 BAJA BAJO BAJO NO
R24 Prostitución y corrupción de menores 187 a 189 bis BAJA BAJO BAJO NO
R25 Trata de seres humanos 177 bis BAJA BAJO BAJO NO
Delitos contra los derechos de los ciudadanos

R26 318 bis BAJA BAJO BAJO NO
extranjeros
23
Tabla de Tratamiento del riesgo y Riesgo Residual
Regulación Efectividad media

Cod. Riesgos (tipos de delitos) Riesgo inherente Riesgo residual
código penal controles
R1 Descubrimiento y revelación de secretos 197 a 197 ter ALTO GESTIONADO MEDIO BAJO
R2 Defraudaciones 248 a 251 ALTO GESTIONADO MEDIO BAJO
R3 Daños contra datos, programas informáticos 264 a 264 ter ALTO GESTIONADO MEDIO BAJO
R4 Delito de Corrupción en los negocios 286 bis a 286 quáter ALTO GESTIONADO MEDIO BAJO
R5 Cohecho 424, 427 y 427 bis ALTO GESTIONADO MEDIO BAJO
R6 Delito contra el mercado y los consumidores 278 a 286 ALTO GESTIONADO MEDIO BAJO
R7 Delitos contra los derechos de los trabajadores 311 a 318 MEDIO GESTIONADO BAJO
R8 Blanqueo de capitales 298 a 304 MEDIO GESTIONADO BAJO
Delitos contra la propiedad intelectual e

R9 270 a 277 MEDIO GESTIONADO BAJO
industrial
R10 Frustración de la ejecución 257 a 258 MEDIO GESTIONADO BAJO
Delitos contra la Hacienda pública y la Seguridad

R11 305 a 310 bis MEDIO GESTIONADO BAJO
Social
R12 Insolvencia punible 259 a 261 MEDIO GESTIONADO BAJO
R13 Trafico de influencias 429 a 430 MEDIO BAJO GESTIONADO BAJO
R14 Financiación de partidos políticos 304 bis MEDIO BAJO GESTIONADO BAJO
24
3. MEJORA Y REVISIÓN
Por último, es fundamental comprobar de forma periódica que los modelos im-
plementados en la organización funcionan correctamente y de forma eficaz. De
no ser así, la organización deberá realizar las mejoras oportunas a fin de contro-
lar y gestionar el riesgo de forma eficaz para que el nivel de riesgo sea acorde
con los objetivos de compliance de la organización.
Por ello, es recomendable revisar el modelo de cumplimiento normativo cada

cierto tiempo (trimestral, semestral o anualmente), verificando el grado de im-
plementación de las acciones, así como la eficacia de estas.
Asimismo, se tendrán en cuenta las no conformidades detectadas (incumpli-

miento de la normativa) y el grado de riesgo residual final.
25
¿QUÉ HAS APRENDIDO?
En esta unidad hemos aprendido cuáles son las medidas a aplicar una vez iden-
tificada la necesidad de tratamiento de un concreto riesgo, en particular los ti-
pos de controles que habitualmente pueden implementarse en el seno de una
organización:
 Controles de prevención: Política del compliance, controles organizati-

vos, formación, información o controles sobre los procesos.
 Controles de reacción: Medidas disciplinarias e incentivos.
 Controles de detención: Monitorización del compliance, indicadores

de riesgo y un canal de denuncias.
27
AUTOCOMPROBACIÓN
1. ¿Qué tipos de mecanismos de control existen?
a) Prevención, reacción, detención.
b) Prevención y detención.
c) Control de las consecuencias.
d) Ninguna de las respuestas anteriores es correcta.
2. Los controles organizativos, ¿qué tipo de controles son?
a) Control de prevención.
b) Control de reacción.
c) Control de detención.
d) Control de consecuencias.
3. La política de compliance, ¿qué tipo de control es?
29
4. Las medidas disciplinarias, ¿qué tipo de controles son?
5. Las medidas de incentivos, ¿qué tipo de controles son?
6. La monitorización y los canales de denuncia, ¿qué tipo de controles son?
7. ¿Quién redactará la política de compliance según la ISO 19600?
a) La alta dirección.
b) El órgano de gobierno o de administración.
c) El órgano de cumplimiento o de compliance.
d) Las respuestas a) y b) son correctas.
8. Un procedimiento KYC “Know Your Customer”, ¿cuándo resulta esencial?
a) Para prevenir la comisión de un delito de blanqueo de capitales.
b) Para prevenir un delito de alzamiento de bienes.
c) Para prevenir que se cometa una infracción sobre protección de datos.
d) Todas las respuestas son correctas.
30
9. ¿Cuándo se va a poder sancionar a un trabajador por incumplir los

procedimientos del sistema de gestión del compliance?
a) Cuando expresamente lo recoja el convenio colectivo o la ley.
b) No es necesario que lo recoja expresamente el convenio colectivo o la

ley, pudiendo acudir a clausulas generales relacionados con tales incum-
plimientos.
c) No se puede sancionar a un trabajador, lo prohíbe el Estatuto de los

Trabajadores.
d) Siempre que lo estime conveniente el empresario, si da parte a los re-

presentantes de los trabajadores.
10. ¿Cuándo se podrá sancionar al personal de alta dirección de una orga-

nización?
a) Por las infracciones recogidas en el contrato y en la ley.
b) Nunca, este es el motivo por el que estamos ante una relación laboral
especial.
c) Solo por las contempladas en el convenio colectivo.
11. ¿Qué son los Key Performance Indicator o KPIs?
a) Son indicadores de cumplimiento.
b) Son indicadores de riesgo.
c) Las respuestas a) y b) son correctas.
12. ¿Qué son los Key Risk Indicator o KRIs?
a) Son indicadores de cumplimiento.
b) Son indicadores de riesgo.
c) Las respuestas a) y b) son correctas.
31
13. Analizar la probabilidad y las consecuencias de que D. Luis (miembro

de la organización) cometa algún riesgo penal al realizar una transfe-
rencia de 50.000 euros al proveedor X, una vez implantado el sistema
de compliance, ¿qué tipo de actuación es?
a) Es un análisis de riesgo.
b) Es una monitorización o KRIs.
c) Es un KPIs.
14. El canal de denuncias debe ser:
a) Confidencial, para preservar la identidad del denunciante.
b) Público.
c) Confidencial, para preservar la identidad del denunciado.
d) Las respuestas a) y c) son correctas.
15. ¿Qué deberá contener la tabla final sobre controles?
a) El número de referencia del riesgo, las medidas a tomar, la eficacia de las

medidas, si se ha testado su eficacia, y el riesgo residual.
b) El número de referencia del riesgo, las medidas a tomar, la eficacia de las

medidas, el nivel de implementación, si se ha testado su eficacia, y el
riesgo residual.
c) El número de referencia del riesgo, las medidas a tomar, la eficacia de las

medidas, el nivel de implementación, si se ha testado su eficacia, el ries-
go residual y los responsables del control y del riesgo.
32
SOLUCIONARIO
1. a 2. a 3. a 4. b 5. b
6. c 7. d 8. a 9. b 10. a
11. a 12. b 13. b 14. d 15. c
33
BIBLIOGRAFÍA
 Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
 Circular 1/2016, de 22 de enero, sobre la responsabilidad penal de las

personas jurídicas conforme a la reforma del Código Penal efectuada
por Ley Orgánica 1/2015.
 ISO 31000:2018. Gestión del Riesgo. Directrices.
 UNE-ISO 19600:2015. Sistemas de gestión de compliance. Directrices.
35

Gestión Del Riesgo. Modelo de Prevención Y Control

Cargado por

Copyright:

Formatos disponibles

Gestión Del Riesgo. Modelo de Prevención Y Control

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Gestión Del Riesgo. Modelo de Prevención Y Control

Cargado por

Copyright:

Formatos disponibles

MD.PlantillaTexto(04)Esp.

GESTIÓN DEL RIESGO.

TU RETO EN ESTA UNIDAD ........................................................................ 3

TU RETO EN ESTA UNIDAD

En la unidad anterior nos adentramos en las fases de identificación, análisis y

A título de ejemplo, partiremos de la siguiente tabla:

Núm. de Apetito Análisis

¿Qué entendemos por “prácticas colusorias”? Se trata

Otros ejemplos de tablas de análisis de riesgos son las siguientes:

Matriz de riesgos Actividades especiales (Diligencia debida)

COD. Transacciones o Socios de

Daños contra datos, programas

R4 Delito de Corrupción en los negocios X BAJA

Delito contra el mercado y los

Delitos contra los derechos de los

R8 Blanqueo de capitales BAJA

Delitos contra la propiedad intelectual

R10 Frustración de la ejecución BAJA

Delitos contra la Hacienda pública y la

R12 Insolvencia punible BAJA

R13 Tráfico de influencias X BAJA

R14 Financiación de partidos políticos BAJA

R15...R31 Resto riesgos del R15 al R31 BAJA

La valoración de la probabilidad se realiza teniendo en cuenta estos valores:

 Alta: existe la posibilidad de que haya un incidente o delito en el plazo de un año.

* Ver Anexo: Metodología Análisis de Riesgos

Matriz de Riesgos por Departamentos

COD. Desarrollo Desarrollo Soporte al Call

Daños contra datos,

Delito de Corrupción en los

Delito contra el mercado y

Delitos contra los derechos

R8 Blanqueo de capitales X X MEDIA

Delitos contra la propiedad

R10 Frustración de la ejecución X X MEDIA

Delitos contra la Hacienda

R12 Insolvencia punible X X MEDIA

R13 Trafico de influencias X X X BAJA

R15... R31 Resto riesgos del R15 al R31 BAJA

La valoración de la probabilidad se realiza teniendo en cuenta estos valores:

 Alta: existe la posibilidad de que haya un incidente o delito en el plazo de un año.

* Ver Anexo: Metodología Análisis de Riesgos

1. Controles de prevención: Política del compliance, controles organiza-

2. Controles de reacción: Medidas disciplinarias e incentivos.

3. Controles de detención: Monitorización del compliance, indicadores

A título de ejemplo, el resultado de dicha valoración puede quedar reflejada en

Referencia del Control de Control de

Formación: Curso online de Canal de

1.1. CONTROLES DE PREVENCIÓN

1.1.1. CAMBIOS EN LA POLÍTICA DE COMPLIANCE

La ISO 19600 establece que el órgano de gobierno (órgano de administración) y

Son requisitos mínimos de la citada política de compliance:

1. Alcance del sistema de compliance.

2. La aplicación y el contexto del sistema en relación con el tamaño, la na-

4. El grado en el que el compliance estará impregnado sobre las políticas,

5. El grado de independencia del órgano de compliance.

Cambios habituales en políticas de compliance son

1.1.2. CONTROLES ORGANIZATIVOS

La forma en la que se organiza una empresa puede incrementar la probabilidad