Hacia un modelo efectivo de risk assessment (I)

El ejercicio correcto de vertebrar un auténtico manual de corporate compliance / manual de prevención penal / manual de cumplimiento penal (y esas otras muchas formas de referirse a lo mismo) comienza, como bien indica nuestra norma de referencia en lo que al disfrute de los “beneficios” de la implementación de un programa de corporate compliance se refiere, por identificar los riesgos a los que la organización está expuesta. Así, el apartado 5 del artículo 31. bis del Código Penal establece:

<<1.º Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.>>

El proceso de identificación sería por tanto el inicio de ruta adecuado y necesario, pero no suficiente. Una cosa es determinar los concretos riesgos a los que una organización puede hacer frente y, otra muy distinta, la priorización de los mismos. Priorizamos un conjunto de riesgos respecto de otros -ojo, priorizar no significa dar importancia a unos y olvidar otros- porque las empresas no disponen de recursos infinitos para impedir la comisión de delitos -y de otros ilícitos-. Aquellos riesgos delictuales que son identificados en una primera etapa son después objeto de una evaluación y análisis, se miden para lograr un proceso de decisión y adecuación de los recursos efectivo y eficiente (“gastaré más donde más problemas haya”). De esta forma, la propia -y correcta- priorización se declara un indicador de la “salud” de la efectividad del programa de compliance.

¿Cómo priorizamos? ¿Cómo medimos? El “mundo profesional” del compliance ha venido generando un sinfín de terminología en lo que al measurement de los riesgos se refiere. Riesgo inherente, riesgo residual, probabilidad, impacto, etc. son algunos de los palabros que numerosos estándares internacionales y nacionales utilizan.

Así, después de todo el revuelto de terminología que puede confundirnos, la coletilla en la que nos fijamos ahora es la del cálculo de la probabilidad y el impacto. Aquí reside uno de los grandes problemas: cada uno lo hace a su manera; existe una suerte de homogenización en las formas, pero no en la realización concreta (en lo material, en lo sustantivo).

Tengamos algo en cuenta. No se realiza un ejercicio de crítica hacia la disparidad de criterios, al revés, lo importante es que independientemente de la forma el resultado sea correcto. Tampoco se critica el expertise de los profesionales que realizan la consultoría. Muchas veces ese expertise hace las veces de criterio corrector cualificado que para nada es desdeñable (podría decirse que afila la Navaja de Ockham). No hay un único método correcto, pero debemos tener en cuenta que el risk assessment es la base de la definición de los recursos de un programa de compliance (en qué me gasto el dinero antes) y su realización marca las bases de lo que será o no un buen plan de cumplimiento.

La solución no puede pasar única y exclusivamente por aplicar la dogmática penal a esta suerte de ejercicio de predicción (recordemos el gran quid de la cuestión, tratamos de detectar conductas que no han ocurrido todavía y que, incluso en los peores escenarios de indicios de riesgo, pueden siquiera revelarse), ni tampoco confiar en un método cualitativo al que algunos organismos internacionales parece que nos orientan. Todo lo contrario, la clave son los datos. Datos y más datos.
El risk assessment de las matrices y los mapas de calor tiene que comenzar a dejar paso a métodos cuantitativos que a través de información detallada y análisis de datos ayuden a tomar decisiones acertadas -y que permiten una sincronía con los objetivos de la organización-.
En entradas posteriores intentaremos desgranar algunas claves de los métodos cuantitativos.

Por Álvaro Tejada

Juande

Cuenta con una experiencia de más de 20 años en la realización de tareas de consultoría, gestión de productos, gestión de equipos y desarrollo de sistemas de información, participando en proyectos en distintos sectores como la Administración Pública, Sanidad o Telcos, en los que se han implementado diferentes soluciones como sistemas de gestión para la Administración, big data, eLearning, aplicaciones móviles, telemedicina, BPM, eCommerce, gestión de contenidos.