Nuevas obligaciones en la gestión de riesgos de negocio
La gestión de riesgos del negocio, es la herramienta más importante puesta a disposición del Consejo de administración para cumplir sus objetivos de control y supervisión. El Consejo no sólo debe preocuparse de desarrollar los procesos obligatorios para cumplir con la normativa legal implantada en España, sino que deberá asegurar que la filosofía que impregna el modelo de gestión de riesgos del negocio está plenamente incrustada en la cultura de la Organización.
Si nos centramos en el caso español, desde la publicación de la Ley 26/2003 de 17 de julio para reforzar la transparencia de las sociedades anónimas cotizadas, se obliga a publicar un informe de gobierno corporativo que incluye, entre otros, información sobre los sistemas de control de riesgos.
La gestión de riesgos del negocio, hasta la aparición de esta Ley era una disciplina emergente auspiciada por las necesidades de concentrar el esfuerzo supervisor sobre los riesgos potenciales efectivos del negocio, lo que dio lugar a una metodología de gran utilidad para los auditores internos y para los responsables del control en la empresa, cada vez más global y cada vez más concentrada en la gestión de sus estrategias sin tiempo y sin deseos de tropezar con riesgos inesperados.
Esta Ley consiguió hacer de esta disciplina una cuestión Corporativa. Si relacionamos esta disposición con la obligación de implantar Comités de Auditoría en el seno de los Consejos de Administración, según lo dispuesto en el la disposición adicional decimoctava de la Ley 24/1988 de 28 de julio, reguladora del Mercado de Valores, incorporada a la Ley 44/2002 de Reforma del Sistema Financiero, podemos concluir que los comienzos del siglo XXI trajeron la responsabilidad legal sobre la gestión de riesgos del negocio.
Pero estas primeras disposiciones, que eran la plasmación de conclusiones de las primeras comisiones establecidas expresamente para estudiar la transparencia de las empresas de interés público (Olivencia y Aldama), tras la crisis del 2008 – 2012 da lugar a nuevas necesidades, identificadas por la Comisión Europea y traspuestas por los legisladores de nuestro país.
Desde la aparición de la Ley de Transparencia se ha sucedido un reguero de disposiciones legislativas de distinto rango que han ido añadiendo o matizando toda clase de obligaciones encaminadas a perfilar las responsabilidades en la gestión de todo tipo de riesgos en la empresa.
La modificación más importante se produce en la Ley31/2014 de 3 de diciembre que modifica la Ley de Sociedades de Capital para la mejora del Gobierno Corporativo. El artículo 529 ter define como facultades indelegables del Consejo de Administración, la determinación de la política de control y gestión de riesgos, incluidos los fiscales. Esta responsabilidad, a tenor del artículo 529 quaterdecies, estará gestionada por la Comisión de Auditoría.
Como culminación de estas disposiciones legislativas debemos referirnos a la Ley Orgánica 1/2015 de 30 de marzo por la que se modifica el Código Penal. Esta Ley, como indica el apartado III de su preámbulo, introduce una mejora técnica a la Ley Orgánica 5/2010 donde por primera vez en España se contemplaba la regulación de la responsabilidad penal de las personas jurídicas. La mejora técnica consiste en la delimitación del concepto “debido control” que en la anterior Ley no concretaba y dio lugar a importantes dudas interpretativas.
De hecho lo que esta reforma del Código Penal ha supuesto, es que a partir del año 2010, los riesgos penales pasan a engrosar la lista de riesgos a tutelar por el Consejo de Administración por sí mismo o a través de la Comisión de Auditoría.
Realmente no son una novedad estos tipos de riesgos en el mapa de riesgos del negocio (Compliance o cumplimiento de la legalidad que especifica el informe COSO), pero sí resulta novedosa la obligación impuesta por Ley de desarrollar toda la metodología para delimitar el “debido control” de estos riesgos puesto que resulta una condición probatoria para evitar la responsabilidad penal societaria en ciertos casos.
Claro, con estas condiciones la Gestión de riesgos penales y de cumplimiento de la legalidad pasa a tener entidad propia, de manera que su desarrollo, gestión y supervisión requerirá una especialización de abogados consultores y auditores, debiendo advertir que la ley de auditoría y sobre todo el proyecto de ley de inminente aprobación, en su artículo16 b) punto 5º indica la específica incompatibilidad de los auditores en la prestación de servicios de diseño y puesta en marcha de procedimientos de control interno y de gestión de riesgos.
Lo que indica la modificación del artículo 31bis es que los modelos de organización y gestión de prevención de delitos deben cumplir seis requisitos que componen las condiciones de efectividad de que se está implantando el “debido control”, condición necesaria para eludir la responsabilidad societaria en delitos cometidos por los administradores en nombre de la sociedad.
Otra cuestión de gran importancia radica en la universalidad de la obligación, puesto que, en contraposición a la Ley 31/2014 que sólo afecta a las sociedades de capital, no hay límite de tamaño de la empresa para la implantación de esta obligación de control de riesgos penales. El mencionado artículo 31.bis en su apartado 3. Indica que en las personas jurídicas de pequeñas dimensiones, las responsabilidades desarrollo, gestión, vigilancia y control, podrán ser asumidas directamente por el órgano de administración, lo que no evita, en absoluto, el cumplimiento de los seis requisitos que define el mencionado punto 5 del artículo 31 bis.
El Consejo de Administración debe prestar especial atención en asegurar que (a partir del 1 de julio de 2015) la gestión del riesgo penal forme parte de la cultura de la organización, este cambio en la orientación de la función supervisora de las empresas españolas no es sencillo y requerirá todo un esfuerzo de motivación, el impulso de la Dirección y la comprensión y aceptación de toda la organización, pero tal es la confianza en sus resultados que los legisladores no han dudado en establecer su obligación legal sin consideraciones al tamaño o estructura ni a la urgencia de su implantación.
Ahora sólo falta esperar que, aprovechando esta nueva obligación para las empresas no cotizadas, la cultura de la gestión del riesgo del negocio se amplíe y las empresas no obligadas a implantar un sistema de gestión de riesgos general pero sí el específico de los riesgos penales, opten por su aplicación total de forma voluntaria por convencimiento en los beneficios que aporta a la gestión. Será interesante comparar el éxito en los resultados entre la implantación obligatoria y voluntaria.
Juan Alberto Marco Granell
Miembro del Academic Board
Santa Fe Associates International