Hacia un ¿Better Risk Assessment?
La tarea de interpretar lo que debemos entender por un sistema de cumplimiento penal efectivo sigue planteando dificultades. Si la tarea o el objetivo final de un sistema de compliance penal es la mitigación o la reducción de posibilidades de ocurrencias de riesgos delictuales, difícilmente podremos valorar dicha situación atendiendo solo a una foto que tiene en cuenta unos controles que se están implementando (añádase aquí el adjetivo que se prefiera – eficaces, automatizados, manuales, robustos, etc.-).
Llegar a la conclusión de que tras la ocurrencia de un evento de riesgo han fallado unos controles nos lleva a idealizar la idea de que podría haberse evitado dicha situación con la existencia de controles diferentes u otros más efectivos. Realmente, sin comparar dos situaciones “similares”, una con la implementación de esos controles y otra sin dicha implementación, no podríamos llegar a obtener más información sobre las causas que han llevado a la ocurrencia de riesgo (y observaríamos la importancia de los sesgos cognitivos en compliance –¿por qué una persona “buena” hace cosas “malas”? -).
Por poner un ejemplo, si en una empresa que no cuenta con un sistema de acceso restringido a la información sensible de clientes, dicha información acabase revelándose o utilizándose para motivos espurios, y este hecho se relacionase con un delito de revelación de secretos de empresa, podríamos entender que la falta de controles es la que ha llevado a la materialización del riesgo delictual. Ahora bien, tampoco es seguro afirmar que, si esta misma empresa hubiese contado con controles dedicados a bloquear y restringir el acceso a información sensible de clientes, la revelación o utilización espuria nunca habría ocurrido. Centrarnos solo en los controles y su eventual efectividad como los garantes de la evitación / mitigación (y, en su caso, entenderlos como “únicas causas” de la ocurrencia del evento de riesgo) puede llevarnos a olvidar mucha información importante por el camino.
En Estados Unidos parece que se están haciendo eco de una vertiente que aboga por ir más allá. El pasado 25 de agosto, Paul Munter, Chief Accountant de la U.S. Securities and Exchange Commission se “quejaba” del enfoque tan estrecho de miras que tenían los auditores y la dirección de las empresas. Sostenía el Sr. Munter que estos se centraban demasiado en los riesgos que afectan directamente a la información financiera, sin tener en cuenta cuestiones más amplias, a nivel de la entidad, que también pueden afectar a la información financiera y los controles internos, indicando a su vez que debería adoptarse un enfoque mucho más holístico (aunque en este caso hablamos del control interno para el reporte financiero -ICFR-, es directamente extrapolable a otras áreas del cumplimiento normativo).
Todavía seguimos utilizando una visión muy cerrada que trata de detectar una foto fija (aunque es entendible en términos de recursos). Las causas de las ocurrencias de los riesgos van más allá de la existencia o no de unos férreos controles. Detrás de cada riesgo delictual tenemos a personas con unas motivaciones muy concretas y, es en el estudio de estas motivaciones y la recopilación de información sobre las conductas que las siguen, donde deberíamos poner el foco.