 |
| Fuente de la imagen: mvc archivo propio |
Resumen: La correcta implementación de un Sistema Interno de Información (SII) o Canal de Denuncias, conforme a la Ley 2/2023, de 20 de febrero, requiere una fase inicial: el Análisis de Riesgos y la Definición del Ámbito Material. Este artículo desarrolla una metodología integral para la identificación, evaluación y mitigación de los riesgos de infracción más prevalentes en la entidad (fraude, corrupción, acoso, incumplimientos medioambientales y competencia desleal). Su principal objetivo es establecer una delimitación legal precisa del objeto del Canal, garantizando que solamente las comunicaciones relativas a las infracciones estipuladas en el Artículo 2 de la Ley 2/2023 (infracciones penales, administrativas graves o muy graves, e infracciones del Derecho de la Unión Europea) sean gestionadas bajo el paraguas de protección legal del informante. Se propone una metodología cuantitativa basada en la fórmula “Riesgo = Impacto \times Probabilidad” con una matriz de 5x5 para la priorización y un enfoque en los desafíos de la intersección normativa (RGPD y laboral). Se concluye que solamente un análisis de riesgos exhaustivo y alineado con el marco legal dota al SII de la eficacia operativa, la legitimidad jurídica y la capacidad disuasoria necesarias, transformándolo de una obligación formal a una herramienta estratégica de gobernanza y compliance.
Palabras Clave: Sistema Interno de Información, Canal de Denuncias, Análisis de Riesgos, Whistleblowing, Compliance, Riesgo Reputacional, Fraude, Corrupción
Abstract: The correct implementation of an Internal Information System (IIS) or Whistleblowing Channel, in accordance with Law 2/2023 of February 20, requires an initial phase: Risk Analysis and Scope Definition. This article develops a comprehensive methodology for the identification, assessment, and mitigation of the most prevalent infringement risks within the organization (fraud, corruption, harassment, environmental non-compliance, and unfair competition). Its main objective is to establish a precise legal delimitation of the Channel's scope, ensuring that only reports relating to the infringements stipulated in Article 2 of Law 2/2023 (criminal, serious or very serious administrative, and European Union law infringements) are handled under the legal protection of the whistleblower. A quantitative methodology is proposed, based on the formula “Risk = Impact × Probability,” using a 5x5 matrix for prioritization and focusing on the challenges of regulatory intersection (GDPR and labor law). The study concludes that only a comprehensive risk analysis aligned with the legal framework provides the Internal Information System (IIS) with the necessary operational effectiveness, legal legitimacy, and deterrent capacity, transforming it from a formal obligation into a strategic governance and compliance tool.
Keywords: Internal Information System, Whistleblowing Channel, Risk Analysis, Whistleblowing, Compliance, Reputational Risk, Fraud, Corruption
1. Introducción: La Relevancia del Análisis Preliminar en el Marco de la Ley 2/2023
1.1. Contexto Normativo y Justificación del Estudio
La promulgación de la Ley 2/2023 en España, transponiendo la Directiva (UE) 2019/1937, sitúa el Sistema Interno de Información (SII) en el epicentro de las políticas de gobierno corporativo y lucha contra la corrupción. La ley impone la obligación de disponer de un canal seguro y accesible, cuyo diseño debe ser proporcional a la naturaleza, tamaño y actividad de la entidad.
La FASE 1: Análisis Preliminar y Nombramiento es el pilar sobre el que se sustentará todo el sistema. Dentro de esta fase, el componente del Análisis de Riesgos y Definición del Ámbito es necesario. Un análisis superficial conduce al riesgo de ineficacia, al saturar el canal con quejas irrelevantes o, peor aún, al no identificar las vulnerabilidades reales que pueden generar responsabilidades penales o administrativas graves (Art. 31 bis del Código Penal).
1.2. Objetivos
Este estudio busca ofrecer una guía metodológica y teórica para abordar el análisis de riesgos:
Desarrollar una Metodología integral para la identificación sistemática de las áreas de mayor riesgo de infracción.
Establecer la Taxonomía de las infracciones potenciales y su relación con tipologías clave (fraude, corrupción, acoso).
Asegurar la Cobertura Legal mediante la alineación estricta del ámbito material del SII con lo dispuesto en el Artículo 2 de la Ley 2/2023.
Evaluar los Desafíos técnicos y legales de la implementación, incluyendo la intersección con otras normativas (RGPD y laboral).
2. Marco Teórico: El Análisis de Riesgos en el Ecosistema del Cumplimiento Normativo
2.1. El Riesgo de Infracción como Objeto del Análisis
En el compliance actual, el riesgo se define como la posibilidad de que un evento desfavorable (la comisión de una infracción) afecte negativamente los objetivos y la situación legal de la organización. El Análisis de Riesgos para el SII se centra en las vulnerabilidades que podrían generar una información merecedora de protección legal bajo la Ley 2/2023.
Este análisis es dinámico y específico. Se basa en estándares internacionales de gestión de riesgos como la ISO 37301 (Sistemas de gestión de compliance) y COSO ERM, adaptando la lógica de control a la especificidad del Canal de Denuncias como mecanismo de detección.
2.2. La Teoría de la Infracción y la Motivación del Informante
La identificación de riesgos debe basarse en la comprensión de por qué ocurren las infracciones corporativas. Modelos como el "Triángulo del Fraude" (oportunidad, presión/incentivo, racionalización) de Donald Cressey son aplicables a la corrupción y el fraude financiero, identificando la oportunidad como el principal punto de intervención del Canal de Denuncias. Un SII robusto reduce la percepción de oportunidad.
La existencia de un canal eficiente, delimitado y con protección real (derivada del Art. 2 de la Ley) actúa, por lo tanto, como un fuerte elemento disuasorio para la comisión de actos ilícitos, al aumentar la probabilidad percibida de detección.
3. Metodología Integral para el Análisis de Riesgos y la Definición del Ámbito
La metodología propuesta se estructura en cuatro etapas secuenciales y obligatorias, diseñadas para transformar los riesgos inherentes en un ámbito de aplicación definido.
3.1. Etapa I: Identificación de Riesgos por Procesos, Funciones y Ámbitos
El proceso comienza con un mapeo exhaustivo de la organización para identificar las áreas funcionales de mayor criticidad (high-risk functions) y los procesos operativos donde los controles son débiles o las decisiones son discrecionales.
3.1.1. Mapeo de Procesos Críticos y Áreas de Riesgo
Se analizan los procesos internos con mayor exposición a riesgos:
- Gestión Financiera y Contable: Alto riesgo de Fraude contable, blanqueo de capitales, malversación (infracción penal).
- Contratación y Compras: Alto riesgo de Corrupción (cohecho, corrupción privada), conflicto de interés (infracción penal/administrativa).
- Recursos Humanos y Relaciones Laborales: Alto riesgo de Acoso, discriminación, e incumplimientos graves de normativa laboral y Seguridad Social (infracción penal/administrativa grave/muy grave).
- Operaciones, Producción y Logística: Alto riesgo de infracciones Medioambientales o de Seguridad industrial graves o muy graves (infracción penal/administrativa).
- Comercial y Marketing: Alto riesgo de prácticas anticompetitivas, cárteles (infracción del Derecho UE y administrativa muy grave).
3.1.2. Taxonomía de Infracciones Potenciales
Se genera una lista exhaustiva de las infracciones potenciales:
3.2. Etapa II: Evaluación Cuantitativa del Riesgo
La evaluación se realiza mediante la aplicación de la matriz de riesgos, que determina la Severidad (Impacto) y la Frecuencia (Probabilidad) de cada infracción potencial.
Puntuación de\ Riesgo = Puntuación\ de\ Impacto \times Puntuación\ de\ Probabilidad
3.2.1. Desglose Detallado de los Parámetros de Valoración (5x5)
Se utiliza una escala de 5 puntos con descriptores que vinculan directamente la ocurrencia del riesgo con las consecuencias legales de la Ley 2/2023.
A. Parámetros de Impacto (I) – Consecuencias de la Infracción
B. Parámetros de Probabilidad (P) – Frecuencia y Oportunidad de Ocurrencia
3.2.2. Matriz de Priorización del Riesgo (Risk Heatmap)
La puntuación final clasifica los riesgos, guiando la prioridad de investigación del Responsable del Sistema Interno de Información (RSII):
3.3. Etapa III: Definición del Ámbito Material
Esta etapa es la conversión del análisis de riesgos en el ámbito de aplicación práctico y legal del SII, mediante un Gap Analysis Legal.
3.3.1. Requisito de la Cobertura Legal
El SII debe ser explícito en que la protección legal del informante solamente se aplica a las denuncias relativas a las siguientes categorías, tal como exige la ley:
A. Infracciones Penales: Todo acto que constituya delito tipificado en el Código Penal.
B. Infracciones Administrativas Graves o Muy Graves: Actos sancionables según leyes administrativas sectoriales. La calificación de grave o muy grave es la que activa la cobertura.
C. Infracciones del Derecho de la Unión Europea: Este es el ámbito más amplio y debe ser desglosado. Incluye:
Infracciones que afecten a los intereses financieros de la UE (p. ej., fraude en la gestión de fondos europeos).
Infracciones que afecten al mercado interior (p. ej., competencia, protección del consumidor, seguridad alimentaria).
Infracciones que entren en el ámbito de los actos de la Unión mencionados en el Anexo de la Directiva (ej. seguridad nuclear, protección del medioambiente).
3.3.2. Exclusión de Quejas y Reclamaciones Ordinarias
El procedimiento del SII debe establecer un mecanismo de inadmisión para aquellas comunicaciones que no se ajusten al Art. 2. La Ley 2/2023 no ampara:
Conflictos laborales o personales sin relevancia legal grave.
Reclamaciones de clientes, salvo que impliquen una infracción legal (ej. publicidad engañosa).
La política debe derivar estas comunicaciones a los canales internos adecuados (RRHH, Ombudsman, etc.), documentando la derivación sin activar el régimen de protección de la Ley 2/2023.
3.4. Etapa IV: Desarrollo de Medidas de Mitigación y Control
El análisis de riesgos debe retroalimentar el sistema de gestión. La mitigación consiste en implementar o reforzar los controles para reducir la probabilidad o el impacto de los riesgos críticos.
4. Discusión: Impacto Estratégico y Desafíos del Análisis de Riesgos
4.1. Del Cumplimiento Formal a la Eficacia Estratégica
Un análisis de riesgos riguroso transforma el SII en una herramienta de inteligencia corporativa y un elemento disuasorio, demostrando la diligencia debida de la dirección ante posibles infracciones. Permite que el RSII enfoque su labor investigadora en las áreas más vulnerables.
La omisión de este análisis genera ineficacia operativa (saturación del canal) e inseguridad jurídica. Un informante que reporte una materia no cubierta por el Art. 2 (por falta de delimitación clara) podría, erróneamente, esperar protección legal, lo que expone a la entidad a reclamaciones si se produce una represalia (riesgo de infracción de la propia Ley 2/2023).
4.2. Desafíos en la Implementación y la Intersección Normativa
El principal desafío es la subjetividad en la valoración de riesgos, mitigada por la aplicación de la matriz 5x5. No obstante, surgen desafíos técnicos y de integración legal:
4.2.1. Reto de la Intersección Normativa (Clash of Laws)
El análisis de riesgos debe considerar la interacción del SII con otras normativas, generando riesgos secundarios:
RGPD y Privacidad: La Ley 2/2023 permite la comunicación anónima, pero el tratamiento de datos personales de los informantes y los afectados (incluyendo la grabación de comunicaciones y el acceso a datos internos) genera un riesgo inherente de infracción del RGPD. El análisis debe ponderar el riesgo de una violación de datos personales durante la investigación de una denuncia.
Legislación Laboral (Estatuto de los Trabajadores): El análisis debe evaluar si los procedimientos disciplinarios internos son lo suficientemente robustos para no ser considerados una represalia ilegal bajo la Ley 2/2023, que es una infracción administrativa muy grave.
4.2.2. Desafío de la Cobertura Geográfica y Estructural
Para grupos de empresas, el análisis de riesgos debe ser consolidado pero diferenciado. El riesgo de una infracción de la Directiva (UE) 2019/1937 puede generarse en una filial extracomunitaria, lo que afecta a los intereses de la matriz española. La valoración debe incluir un factor de Riesgo País o Jurisdiccional en el cálculo del riesgo final, especialmente para corrupción y blanqueo de capitales:
Donde Rj es un multiplicador basado en índices de percepción de la corrupción (ej., Transparency International), asegurando que el SII tenga mecanismos de comunicación transnacional coordinados y adaptados a la Ley 2/2023.
5. Conclusiones
El Análisis de Riesgos y la Definición del Ámbito Material son el cimiento ineludible para la correcta implementación y operatividad del Sistema Interno de Información conforme a la Ley 2/2023.
La metodología de identificación debe ser exhaustiva, abarcando tipologías como fraude, corrupción, acoso y las infracciones específicas del Derecho de la Unión Europea.
La alineación estricta con el Artículo 2 de la Ley 2/2023 es el factor crítico de éxito, delimitando el objeto del canal a las infracciones penales, administrativas graves/muy graves, y aquellas de la UE.
La aplicación de una matriz de riesgos cuantitativa (5x5) permite la priorización efectiva, asegurando que el RSII centre la investigación y la formación en los riesgos de mayor impacto y probabilidad (categorías Crítico/Extremo y Alto).
La consideración de los riesgos secundarios derivados de la propia operación del SII (riesgo de represalias y riesgo RGPD) es necesario para garantizar la legalidad integral del sistema.
El resultado final debe ser un Informe de Análisis de Riesgos aprobado por la Alta Dirección, que cumpla con la formalidad legal y actúe como un plan de acción estratégico para la prevención y la integridad corporativa.
6. Referencias
España. Jefatura del Estado. (2023). Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción. Boletín Oficial del Estado, 44, de 21 de febrero de 2023.
Parlamento Europeo y Consejo de la Unión Europea. (2019). Directiva (UE) 2019/1937, de 23 de octubre de 2019, relativa a la protección de las personas que informen sobre infracciones del Derecho de la Unión. Diario Oficial de la Unión Europea, L 305, de 26 de noviembre de 2019.
ISO 37301:2021. Sistemas de gestión de compliance - Requisitos con orientación para su uso. International Organization for Standardization.
COSO (Committee of Sponsoring Organizations of the Treadway Commission). (2017). Enterprise Risk Management — Integrating with Strategy and Performance.
Cressey, D. R. (1973). Other people's money: A study in the social psychology of embezzlement. Montclair, NJ: Patterson Smith.
ACFE (Association of Certified Fraud Examiners). (2024). Report to the Nations on Occupational Fraud and Abuse. ACFE.
Transparency International. (2024). Corruption Perceptions Index (CPI). Berlin.