Por el Dr Diego Di Giorno, Director Comité en Compliance y Nuevas Tecnologías de World Compliance Association
La debida diligencia se relaciona, primeramente, con el conocimiento de las actividades en las que existe riesgo de comisión de los delitos que se han de prevenir. Acorde a la norma ISO 37001:2016, la diligencia debida es un proceso complementario para ayudar a la evaluación de la naturaleza y extensión del riesgo, así como a la toma de decisiones relacionadas con transacciones, proyectos, actividades, socios de negocios y personas específicas. Guarda, por tanto, una estrecha relación con la evaluación de los riesgos de soborno, que se regula en apartados anteriores de esta norma ISO, así como con los niveles de tolerancia al riesgo establecidos por la propia organización. Acorde a ello, supone la plasmación práctica de la aproximación basada en el riesgo. Su desarrollo de forma eficaz y eficiente supone la evidencia de una actuación o conducta diligente.
Tras la evaluación de los riesgos de soborno, la organización puede haber detectado un riesgo significativo en:
– Determinadas categorías de actividades, proyectos o transacciones
– Las relaciones existentes o planificadas con determinadas categorías de socios de negocios
– Categorías específicas del personal en determinadas posiciones. En estos casos, se debe evaluar más detalladamente la naturaleza y extensión del riesgo de las transacciones, proyectos, actividades, socios de negocios y personal que estén incluidos en dichas categorías.
La diligencia debida sirve, entonces, como un control adicional en la prevención y detección de los riesgos de soborno. Ayuda a la organización a decidir si posponer, suspender o revisar ciertas transacciones, proyectos o relaciones con socios de negocios o personal interno. Es decir, los procesos de diligencia debida operan en una doble vertiente: bien internamente, frente a los miembros de la organización; bien externamente, frente a terceros que guarda relación con ella.
Los procedimientos de diligencia debida pueden actuar como controles específicos, preventivos y detectivos, ante posibles riesgos de soborno, aportando información útil a la organización para la toma de decisiones. Además, la información obtenida debe ser actualizada con cierta frecuencia, para mantener la información adecuada en todo momento, pudiendo tomar las decisiones adecuadas para la organización en función de riesgo evaluado.
