Desde una perspectiva de Compliance, suele asumirse que conviven en las organizaciones tres clases de personas: las que siempre observarán una conducta adecuada (25%), aquellas cuyo comportamiento depende en gran medida del entorno en que se hallen (50%) y, finalmente, las que tienden a observar conductas desviadas, incluso con independencia del contexto en que se encuentren (25%). De acuerdo con esta partición, las conductas que desarrollará el grueso de la población en la empresa están condicionadas por la cultura de cumplimiento que ésta irradie y los elementos de prevención dispuestos al efecto. En líneas generales, este conjunto es susceptible de cometer incumplimientos de oportunidad, entendidos como aquellos en que se incurre ante circunstancias propicias. Así, por ejemplo, si un empleado tiene capacidad de acceder a datos personales de terceros, susceptibles de proporcionarle ingresos, podrá sentirse tentado de hacerse con ellos ante la ausencia de medidas de prevención y vigilancia que lo eviten (físicas o lógicas).
Sin embargo, el grupo remanente de personas con propensión al incumplimiento no sólo aprovechará las vulnerabilidades de control, sino que actuará conscientemente para soslayar los mecanismos de vigilancia. Para conseguirlo, su conducta no producirá anomalías detectables por las medidas de vigilancia al uso, que además conocen bien.
A comienzos de este año se publicaron en España las memorias de Vasili Sáitsev, el francotirador soviético que fue galardonado con la Estrella de Oro de Héroe de la Unión soviética por sus méritos en la atroz batalla que se libró en Stalingrado (1942). Cuando perseguía a un francotirador enemigo, llamaba poderosamente la atención de sus compañeros que nunca pretendiese localizarlo mediante la observación directa, sino indagando las circunstancias en las que habían sido alcanzadas sus víctimas y formándose un juicio sobre qué emplazamiento elegiría él mismo para asestar tal impacto letal. A partir de ahí, esperaba a que el contrario se manifestase, atraído por algún señuelo dispuesto al efecto. El destello de un disparo durante una fracción de segundo, era la fugaz evidencia que delataba su posición, pero sólo si en ese momento se estaba vigilando la zona. Záitsev sabía que era inútil otear los alrededores, pues un tirador experto jamás provoca anomalías en el paisaje, y tratar de localizarlo visualmente equivale a convertirse en su próxima víctima. Las técnicas de Záitsev todavía se instruyen en la actualidad.
Uno de los cometidos de Compliance es detectar incumplimientos, tanto de las obligaciones que vienen impuestas a la organización como de aquellas que asume voluntariamente. En cualquier caso, tanto unos como otros incumplimientos pueden cometerse para obtener un enriquecimiento personal, y por ello han sido ocasionalmente clasificados como una modalidad de fraude. De hecho, la corrupción, que es uno de los ámbitos típicos de los modelos de Compliance, se identifica como el fraude que más ha crecido porcentualmente en el mundo respecto de años previos, según el Report to the Nations emitido en 2014 por la Association of Certified Fraud Examiners (ACFE). El Caso que publico este mes guarda relación con ello, e ilustra como el incumplimiento de las normas que previenen la corrupción y el fraude suelen ir de la mano.
La prevención y detección de conductas corruptas, como modalidad de fraude, se proyecta sobre un perfil de sujetos bastante estudiado, caracterizado por su nivel de madurez en la organización y, por lo tanto, por conocer el entorno de control y sus vulnerabilidades. De hecho, es un grupo que se nutre de personas que inicialmente formaban parte de ese 50% del conjunto y que, a base de escalar incumplimientos de oportunidad, han devenido “depredadores”: empleados -normalmente directivos-, que defraudan deliberadamente y sin remordimientos, muy preparados para sortear los mecanismos ordinarios de vigilancia.
La primera medida preventiva es evitarlos por medio de una adecuada selección del personal, poniendo especial cuidado en los cargos llamados a desarrollar cometidos de control, pues no hay mayor desacierto que instalar al zorro para custodiar el gallinero. Por eso, las líneas directrices recopiladas anualmente por la US Sentencing Commission hacen hincapié en la necesidad de valorar los antecedentes de cumplimiento de las personas que acceden a dichas posiciones.
Si hay algún “depredador” dentro de casa, sólo lo combatiremos persiguiéndolo de forma activa, a sabiendas de que no producirá anomalías perceptibles. Es preciso recurrir a indicios, como hacía Záitsev. Así que toma el fúsil y continúa leyendo.
Llegó el momento de relacionar el data analysis con el Compliance. Uno de los problemas que afronta la actual Sociedad de la Información es la sobreabundancia de datos. Sin embargo, de ese magma digital se obtienen las pistas delatoras de incumplimientos deliberados, ejecutados por personas altamente cualificadas. Olvídate de las técnicas de identificación de desviaciones sobre la media normal de datos, ya que los “depredadores” más peligrosos mimetizan sus acciones dentro de parámetros aparentemente normales.
En la maraña actual de datos gestionados por una organización, existen muchos que son indiciarios cuando se enlazan adecuadamente: identifica, por ejemplo, coincidencias sospechosas, como puedan ser números de cuentas bancarias o direcciones coincidentes en personas de dentro y fuera de la organización, o aquellas personas que realicen transacciones con entidades de nueva creación. Estas y otras sincronías te permitirán formular hipótesis de investigación para luego mantener el foco de control sobre el perímetro adecuado, que es justamente lo que hacía Záitsev setenta años atrás.
En cualquier caso, puesto que estamos hablando de cumplimiento, siempre deben extremarse las precauciones que garanticen el tratamiento de datos personales respetando los derechos de sus titulares, garantizando su disociación antes de tener evidencias inequívocas que delaten al depredador.
Deja un comentario