¿Puede evitarse la comisión de un delito mediante un sistema / plan de cumplimiento?

¿Puede evitarse la comisión de un delito mediante un sistema / plan de cumplimiento?

Respuesta corta: no. Parece una pregunta sencilla y también parece que el “mundo” actual del compliance nos hace pensar que es posible, pero, confirmar o asumir esta realidad entraña una auténtica creencia que es en esencia errónea. Intentemos desgranarlo…

¿Qué es “compliance”?

No creo que exista un criterio unificado sobre lo que se entiende por “compliance”. Podrá existir un criterio definido pero, cuando este criterio entra en práctica, adquiere tantas versiones que distorsionan esa definición inicial. La “idea” del compliance del regulador no es la misma que la que tiene la Fiscalía, tampoco es similar a la del abogado que defiende a una empresa, ni tampoco concuerda con la del consultor que asesora a una empresa o la del compliance officer de una entidad. Y, lo que añade más problemática al asunto, esta idea o creencia es cambiante.

Por poner un ejemplo. El compliance officer de una empresa que nunca se ha visto afectada por un delito podrá tener una concepción/ creencia sobre el compliance (cumplo con las ISO, la entidad tiene un sistema de cumplimiento penal certificado, el regulador nunca me ha sancionado, cumplimos con nuestras obligaciones tributarias…). Ahora bien, ¿qué ocurre si imputan a la empresa un delito fiscal -imaginemos incluso que se ha cometido, no solo hablando desde una perspectiva de mera imputación-? ¿Pensáis que ese compliance officer seguirá pensando que la empresa es “cumplidora” (o al menos en el mismo grado)? ¿Y qué pensará el Juez que observa y/o analiza el sistema de cumplimiento de esa entidad?

El dogma internacional vs Obligaciones elegidas.

La normativa y los organismos internacionales que tratan de unificar criterios (ISO, COSO, Transparencia Internacional, Banco Mundial, OCDE, United States Sentencing Commission -añade aquí a la autoridad o norma que creas-) aglutinan ideas en conceptos concretos que sirven o tratan de servir como marcos de buenas prácticas (una suerte de guía) pero, en ningún caso, deberían ser o convertirse en dogmas. Una empresa debería asumir sus propias obligaciones que luego serán las que fijen su propio estándar de compliance (incluso cuando hablamos de hard law, donde el proceso de asunción de la obligación es revelado en el momento que se decide operar en el determinado mercado). De lo contrario, si un sistema de cumplimiento se hace depender de terceros, nunca se podrá cumplir con nada (pues en muchos casos se dependerá del criterio “interesado” de la tercera parte).

Si una empresa cumple con un determinado criterio jurisprudencial, ¿qué ocurre si cambia ese criterio jurisprudencial? En el momento en que cambia ese criterio, si mi sistema de cumplimiento normativo no lo sigue, ¿la empresa sigue siendo cumplidora? La empresa seguirá cumpliendo en tanto en cuanto es ella misma la que decide con qué cumplir, porque la empresa ha asumido un criterio que es el que fija su obligación, pero el hecho de que cambie el criterio no implica que la empresa deje de ser cumplidora, ella tendrá que decidir asumir el nuevo criterio (y con ello cambiará su estándar de cumplimiento).

Este proceso de asunción de obligaciones a menudo pasa inadvertido o bien no se documenta. En este proceso de documentación se generan los datos que permitirán en un futuro medir de forma razonable las obligaciones autoimpuestas-tanto hard law como soft law- (y esto es lo que servirá en un hipotético proceso penal para decir que un sistema de compliance es robusto o eficaz; que la empresa es un “buen ciudadano corporativo”).

Corporate Compliance no es Corporate Ethics

Una empresa nunca va a poder impedir con una probabilidad al 100% que se cometan delitos en su seno, y ello es porque nunca van a poder evitar el elemento subjetivo de un delito que depende de una persona física. El behavioral compliance no es algo nuevo y, si algo nos ha enseñado, es que realmente no sabemos por qué o en qué momento las personas “buenas” deciden ir por el mal camino. Corporate ethics se basa en los estándares de valores que las propias empresas se autoimponen basados en sus creencias. Coporate compliance se relaciona con las conductas concretas que ocurren en la empresa y que se adecuarán -o no- a esos estándares de valores. La bondad de las empresas hay que bajarla a la tierra. No hay que medir valores, tenemos que medir conductas.

Para ser efectivos hay que saber qué medir y cómo medirlo.

Más preguntas ¿El hecho de que una empresa esté certificada en la UNE 19601 implica que ese sistema de cumplimiento penal es más efectivo que otro sistema de una empresa que no está certificada? No, no lo implica. ¿Por qué? Contesto con una pregunta. ¿Qué efectividad va a tener un sistema basado en una norma / estándar que ni siquiera define lo que es efectivo? Más aún, ¿efectividad frente / sobre / de qué? Algunos saldrán al paso de esta reflexión con la coletilla de siempre “el riesgo cero no existe”, pero de nuevo, ¿riesgo de qué? ¿de qué se cometa un delito en la empresa? ¿de qué imputen a la empresa? ¿de qué llamen a declarar a los administradores de la entidad? Si el riesgo cero no existe, ¿por qué seguir un estándar que no me asegura la efectividad ni me ayuda a priorizar recursos (y, reitero, porque ni siquiera me define lo que es efectivo o me da medios para medirlo)? Habrá que medir para saber si realmente ayuda a reducir un riesgo.

Seguimos… “Un control es eficaz / efectivo si me sirve para mitigar un riesgo” ¿Cómo se va a saber si un control es efectivo o eficaz si nunca se ha valorado la misma situación en la empresa sin dicho control? Y, si ocurre una situación de riesgo, ¿podríamos saber si hubiese sucedido igualmente sin ese control?

Hay que tratar de atender a las verdaderas causas del por qué ocurren las cosas (o, por lo menos, tratar de identificarlas -y este proceso suele ser bastante más costoso y arduo de lo que estamos acostumbrados -). Decir por ejemplo que la formación recibida en una empresa es un control eficaz o efectivo basados únicamente en el número de personas que han recibido la formación es claramente insuficiente. Tendrá que medirse el grado de asimilación de esa formación ¿no?

¿Qué podemos evitar? Con todo ello quiero llegar a una conclusión: no sabemos medir el compliance (y no podemos evitar ni controlar lo que no podemos medir). Por ejemplo, si queremos evitar delitos relacionados con la “corrupción” tendré que medir aquellas conductas “proxy” que por experiencia se sabe que pueden llevar a los elementos de conducta/ cognitivos que llevan a los elementos subjetivos de estos delitos. Me explico. Nunca vas a poder saber si un equipo comercial está sobornando o tiene intención de realizar sobornos. Ahora bien, podrán establecerse unos límites de gasto para el equipo comercial y se podrá medir que el equipo cumpla con esos límites. La empresa crearía una suerte de límite objetivo en la superación del gasto -es decir, se entendería que existe una “intención de sobornar” con la superación del límite (sobrepasar el límite de gasto se erigiría como la conducta proxy).

El riesgo de compliance no sería el de que se cometa un delito de “corrupción”, sino que sería la falta de medición de los gastos que previamente la empresa ya ha limitado -obligación autoimpuesta-. Y, aun así, esto no elimina la posibilidad del delito. La coletilla de “el riesgo cero no existe” la transformaría por la de “no se pueden prevenir o anticipar con exactitud los sesgos cognitivos que llevan a la comisión de un delito”. Es decir, no se puede evitar la comisión de un delito.

Conclusión.

El compliance no es una panacea. Vender las normas internacionales como un seguro solo sirve para crear falsas expectativas (ojo, no digo que no sea adecuado seguir un estándar, pero no considero eficiente seguirlo como un dogma). El riesgo bruto y el riesgo neto no puede ser solo marketing, hay que buscar tomar decisiones eficientes. El cumplimiento normativo en sentido genérico debe pasar por los datos y su medición. Identificar dónde se encuentran los datos que me llevan a las conductas que por experiencia “objetiva” llevan a resultados relacionados con delitos (auténtico proceso de objetivación). Saber por qué ocurren determinadas conductas y de dónde provienen va a marcar el futuro del compliance.

Por Álvaro Tejada Plana

Juande

Cuenta con una experiencia de más de 20 años en la realización de tareas de consultoría, gestión de productos, gestión de equipos y desarrollo de sistemas de información, participando en proyectos en distintos sectores como la Administración Pública, Sanidad o Telcos, en los que se han implementado diferentes soluciones como sistemas de gestión para la Administración, big data, eLearning, aplicaciones móviles, telemedicina, BPM, eCommerce, gestión de contenidos.