Introducción a Peligros vs riesgos
En este nuevo artículo de CMS, queremos hacer una reflexión acerca de la terminología peligro-riesgo, porque pensamos que la precisión en el lenguaje es necesaria para que los mensajes sean correctos y sin errores. Además, realizamos una exposición del proceso de gestión de los riesgos desarrollado en diferentes normas.
Es muy habitual encontrar bibliografía en la que los términos riesgo y peligro se utilizan de forma indistinta, pudiendo crear dudas y confusión. Es pues el objetivo de este artículo aportar luz a estos conceptos, a partir de las definiciones internacionales que encontramos de dichos términos en normas de referencia, para, a continuación, hacer un repaso de los modelos que gestionan estos conceptos en diferentes aplicaciones.
Definiciones de los términos de riesgo y peligro
El Diccionario de la Real Academia de la Lengua Española define al término peligro como “Riesgo o contingencia inminente de que suceda algún mal”. Si acudimos a normas de carácter técnico en la norma UNE 19601:2017 (norma aplicable al Compliance Penal) no aparece definido el término, en la norma ISO 45001:2018 (norma aplicable a Prevención de Riesgos Laborales) se define como un elemento capaz de causar lesiones y afectación a la salud, es decir, un elemento capaz de causar daño.
Por otro lado, el término riesgo se define en el Diccionario de la Real Academia de la Lengua Española como “Contingencia o proximidad de un daño.” En el caso de la norma 19601:2017 el término se define como el efecto de la incertidumbre para alcanzar unos objetivos, en la norma ISO 45001:2018 tiene la misma definición.
Por tanto y resumiendo tenemos esta terminología:
Atendiendo a estas definiciones, la diferencia entre peligro y riesgo se ve más clara. Apliquemos estos conceptos a un ejemplo sencillo para poder entender los conceptos. Imaginemos que vamos caminando por una calle y en el suelo hay una zanja que se ha dejado abierta y sin señalizar ni tapar por una empresa de construcción. En este caso esa zanja en sí misma es el peligro ya que se trata de un elemento capaz de producir daño, pero el riesgo de causar un daño a las personas está por determinar. Ahora queda por determinar cuánto de próximo se estaría del daño. La cercanía al daño depende de dos cuestiones: de la probabilidad de ocurrencia y de la protección que tengamos para
reducir la gravedad de los efectos. En este caso podemos aplicar medidas de mitigación (señalización de la zanja, carteles avisadores…) y entonces la probabilidad de que caigamos se reduce, y si además nos colocamos equipos de protección (casco, protecciones en articulaciones…) las consecuencias de la caída serán menores. En consecuencia, estamos reduciendo el riesgo del peligro.
El riesgo de cualquier peligro existente se puede gestionar a través de la probabilidad de ocurrencia de un evento indeseado (relacionado con el peligro) y sobre la severidad de las consecuencias. Ambos parámetros (probabilidad y severidad) permiten reducir el riesgo asociado a un peligro.
Por tanto, la existencia de peligros por sí misma no implica un riesgo. El contexto que rodea a dicho peligro y la severidad de los daños son los que determinan el riesgo. Volviendo al ejemplo anterior, una zanja en una calle de una ciudad desierta presenta un riesgo cero de caída, sin embargo, esa misma zanja en una avenida concurrida presenta un riesgo alto que debe ser gestionado.
La compresión de estos elementos es imprescindible para la correcta interpretación de normas y artículos técnicos, además debe servir de base para realizar una correcta evaluación de los riesgos y la clasificación de los peligros.
Peligros existentes en las empresas y los mecanismos del Sistema de Gestión de Compliance Penal para detectar el riesgo
En términos de compliance penal los peligros lo constituyen los tipos penales (delito de estafa, delito de corrupción, delito ambiental…) y el riesgo de cada uno de ellos depende de la organización y del contexto en el que se dan.
Un mismo peligro puede materializarse de diferentes modos, en otras palabras, hay muchas formas en la que puede sustanciarse un delito en todas las afecciones posibles que establece el Código Penal en cada uno de los tipos. Es por ello esencial que el Sistema de Gestión de Compliance Penal UNE 19601:2017 tenga mecanismos para actualizar su Matriz de Riesgos y Controles de forma que se analicen las diferentes formas de comisión de un delito (6.2.2 y 6.2.4 de la norma UNE 19601:2017), esta tipología de la forma de materialización del delito son las diferentes formas de manifestarse un peligro. Y cada forma puede tener unas causas diferentes y por tanto la probabilidad de darse es diferente y el riesgo también.
Formas de materialización de peligros
Las diferentes formas de materialización de los peligros, es decir, las diferentes formas de comisión de un delito es objeto de la Criminología. Desde este punto de vista un mismo delito se puede materializar de múltiples formas. La identificación de la forma en que se materializa y las circunstancias de contexto permiten establecer controles que ayudan a reducir la probabilidad de ocurrencia o a establecer medidas de mitigación que reduzcan la severidad del delito.
Con este concepto, entramos en un campo inexplorado, la taxonomía de las formas de comisión de delitos, es decir, el sistema de clasificación de las diferentes formas en la que se comete un mismo delito. En la medida en que el sistema de gestión de la compañía permita identificar estas formas, estamos acotando las formas de cometer un delito y por ello acotando los esfuerzos de control y las probabilidades de éxito del Sistema de Gestión.
En CMS entendemos que este diseño del sistema es el que permite optimizar los recursos y ganar en eficiencia.
Determinación del nivel de riesgos de los peligros
Otro concepto muy interesante relacionado con los riesgos es la determinación de los niveles de riesgo para un delito o grupo de delitos en una organización. En la medida en que una organización es capaz determinar una taxonomía de materialización de delitos y se evalúa el riesgo de cada una de estas formas de comisión del delito, se puede llegar a determinar el nivel de riesgo de forma objetiva y segregada, y con ello se puede mejorar el análisis y optimizar los controles y acciones de mitigación.
Sin duda este tipo de gestión y evaluación de desempeño de la organización en materia de compliance penal es una de las esencias del sistema de gestión según UNE 19601 y la forma de implementar la mejora continua en las organizaciones.
Gestión de los riesgos y la ISO 31000
La norma ISO 31000 “Risk Management- Principles and guidelines” establece el estándar para la gestión de cualquier tipo de riesgo, entre ellos los riesgos penales. Esta norma nos permitirá mejorar el sistema de gestión de riesgos que establece la norma UNE 19601, en concreto en la parte de la Evaluación de riesgos penales.
Una parte interesante de esta norma y relacionada con los conceptos anteriormente desarrollados son las
técnicas para el tratamiento de los riesgos evaluados.
Estas técnicas son:
– Eliminación la fuente del riesgo (el peligro)
– Reducción de la probabilidad materialización del delito
– Reducción de la severidad del delito ya cometido
– Compartir el riesgo con otras partes interesadas (seguros y reaseguros)
– Aceptar el riesgo (proceso documentado)
La aplicación de cada una de las técnicas debe responder a un análisis que tenga en cuenta los costes y necesidades de recursos para la implementación frente a los beneficios derivados.
Conclusiones
– Riesgo y peligro son conceptos diferentes.
– En compliance penal los peligros están limitados, pero la forma en que se cometen es casi infinita.
– La clasificación de las formas en las que se puede cometer un delito es un paso necesario para la gestión de los riesgos de una organización.
– Hay diferentes mecanismos de reducir el riesgo de los peligros.
