La vorágine surgida en los últimos años sobre controles de Compliance ha llevado a asumir ciertos compromisos que, en la práctica, resultan difíciles de cumplir. En ocasiones, es consecuencia de querer disponer de modelos de compliance robustos, sin caer en la cuenta del esfuerzo que supone mantener operativas una serie de medidas tremendamente voluntaristas pero con escasos recursos para aplicarlas. Obligarse a desarrollar actividades que finalmente no se ejecutarán cuestiona la debida diligencia de la organización, su órgano de gobierno y su equipo directivo, incluida la propia función de Compliance. Un tercero independiente que detecte tal situación, posiblemente mostrará su disconformidad ante la falta de ejecución de actividades planificadas, especialmente cuando cubren requisitos exigidos en un estándar de referencia. Por eso, antes de atiborrar los modelos de compliance con actividades de supervisión y control, es recomendable reflexionar hasta qué punto son verdaderamente necesarias, y si es factible su ejecución.
Puesto que los recursos de las organizaciones son limitados, es razonable priorizar las actividades reguladas en el modelo de compliance siguiendo un enfoque basado en el riesgo (EBR). Priorizados los riesgos, las medidas de supervisión y control guardarán proporción al nivel de exposición que suponen.
Así, por ejemplo, los estándares modernos de compliance recomiendan fijar cautelas contractuales en las relaciones con socios de negocio que presenten un riesgo superior a bajo. En este tipo de cláusulas no sólo plasman su compromiso a una conducta ética y alineada con las normas, sino que suelen incluir representaciones explícitas sobre las medidas de compliance de que dispone el tercero. Y en no pocas ocasiones, se establece la posibilidad de contrastar la veracidad de sus aseveraciones mediante revisiones o auditorías. Como consecuencia de todo ello, se introducen contractualmente cautelas cuya aplicación uniforme y consistente entraña tales esfuerzos que rara vez se ejecutan, siendo el derecho de auditoría (“audit right”) el caso más común. Concurre entonces la paradoja que la función de compliance se obliga a determinadas cautelas que es incapaz de cumplir, normalmente por falta de recursos. Sucede algo parecido con los compromisos de impartir formación a la totalidad de empleados de la organización o de revisar todos los perfiles profesionales de las personas que ocuparán posiciones relevantes en la supervisión y control, por poner algunos ejemplos extraidos de modelos de compliance.
Dicen que el infierno está empedrado de buenas intenciones, y esto sucede cuando el celo de los responsables de compliance les lleva a imponerse obligaciones que trascienden sus capacidades. Es un escenario peligroso, capaz de alimentar una falsa visión de indolencia ante irregularidades evitables de haberse aplicado dichas medidas. Puesto que era una actividad establecida por la propia función de Compliance y aparentemente idónea para evitar o mitigar determinado riesgo, será difícil justificar su no aplicación y defender la diligencia de quienes debieron cuidarse de ello.
La llamada “falacia del historiador” es un sesgo frecuente en quienes deben juzgar la idoneidad de las medidas de compliance, una vez se ha materializado un incidente. Lleva al juzgador a considerar obvias determinadas acciones de prevención o mitigación que, en verdad, no eran tan evidentes en su momento. Esto, junto con el hecho de que las medidas que fallaron estaban expresamente contempladas en el modelo de compliance, conforma un escenario muy propenso a críticas. Por ello, la aplicación proporcional de los modelos de compliance y sus medidas de prevención, detección y reacción es clave para garantizar su sostenibilidad. No es mejor modelo de compliance el que recoge más controles, sino el que fija los relevantes ante situaciones que verdaderamente entrañan riesgo y es capaz de aplicarlos de manera uniforme y consistente. Un simple cociente entre el número de controles de Compliance y el personal dedicado a su adecuada supervisión arroja, en muchas ocasiones, cifras reveladoras.
Es una materia que enlaza con el vídeo número 8 de la serie dedicada a la entrevista forense a compliance, una vez que se ha producido un incidente: ¿Se evaluó correctamente el riesgo de que sucediera? En ocasiones, la evaluación del riesgo fue correcta, pero no se disponían de recursos mínimos para prevenirlo, detectarlo o reaccionar frente a él, en cuyo caso el reproche a la organización está servido.
Como siempre, reflexiones muy prácticas, instructivas e interesantes. Gracias!
Un artículo muy interesante. Muchas gracias!