Archivo por días: 11/10/2014

Ébola y compliance

Posted on por

Los errores cometidos en la gestión de un desastre son comprensibles cuando nos enfrentamos a algo repentino y desconocido. Es posible que una reacción instantánea, basada en razones de extrema urgencia, impida aplicar las mínimas cautelas, que después del desastre se presentarán como las más razonables y evidentes.

También son comprensibles los errores cuando hablamos de riesgos conocidos pero difíciles de predecir y de evitar, dada la cantidad y la complejidad de los datos a analizar y el carácter aleatorio de los sucesos relacionados con el riesgo.

Pero cuando un riesgo es conocido, medible, previsible, evitable, e incluso puede ser transferido a terceros o diferido en el tiempo, tomar decisiones sin la debida información y realizar actuaciones sin aplicar las medidas preventivas establecidas puede y debe generar responsabilidades.

La crisis del ébola generada en España se ha convertido, desgraciadamente, en un caso de estudio en materia de compliance, ya que sirve para ilustrar todas las fases de la gestión de un riesgo que deben ser contempladas en un modelo de prevención y control.

No voy a analizar en este caso la posible concurrencia de un elemento de ajenidad e incluso de riesgo moral en la gestión pública, o más bien política, de una amenaza como ésta, sino el contenido del modelo teórico que se habría aplicado en un mundo ideal.

En este caso, el modelo debería incluir todos los controles asociados a la prevención de los riesgos relacionados con la salud pública, la seguridad pública y la seguridad en el trabajo, reforzados con los controles específicos del ébola.

A continuación relaciono, de manera cronológica, algunas de las enseñanzas del caso analizado que se expresan en una minúscula muestra de las medidas preventivas que podemos trasladar al mundo de la empresa con el fin de incluirlas, si no lo están ya, en un modelo teórico de prevención y control corporativo, de acuerdo con el esquema definido en el Anteproyecto de Código Mercantil y en el Proyecto de reforma del Código Penal.

Del mismo modo, las enseñanzas de los modelos empresariales de prevención y control podrían haberse aplicado desde el principio a este caso para el beneficio de toda la población.

Protocolo de toma de decisiones

Escenario real: Posible repatriación de ciudadano español contagiado por ébola.

Escenario corporativo: Una empresa debe tomar una decisión de alto riesgo

Controles que debería incluir un modelo de prevención y control corporativo:

– Solicitud de informes internos y externos
– Asesoramiento técnico especializado en el riesgo
– Asesoramiento jurídico especializado en el riesgo
– Evaluación objetiva del riesgo
– Análisis de escenarios posibles
– Análisis de alternativas
– Análisis de costes
– Balance de prioridades entre intereses individuales y colectivos
– Mayoría reforzada en el proceso de votación

Planificación

Escenario real: Traslado de enfermo de ébola a país sin antecedentes ni experiencia

Escenario corporativo: Planificación de un proyecto de alto riesgo en el que la empresa no tiene experiencia

Controles que debería incluir un modelo de prevención y control corporativo:

– Solicitud de modelos de planificación a expertos internacionales
– Contratación de expertos externos
– Políticas, normas y procedimientos
– Formación adecuada y experta para todos los miembros del equipo
– Hot line para la resolución inmediata de dudas
– Canal de comunicación de situaciones de riesgo
– Diseño de protocolos
– Plan de adecuación y actualización de protocolos
– Planes alternativos
– Planes de respuesta y emergencia
– Selección de la ubicación más adecuada
– Comisión de seguimiento
– Gabinete de crisis
– Plan de comunicación
– Plan de concienciación en relación al riesgo de alarma social desproporcionada
– Gestión de la fase posterior al proyecto
– Plan de gestión de los residuos contaminados

Formación

Escenario real: Equipo sanitario aparentemente sin experiencia ni formación adecuada

Escenario corporativo: Asignación de funciones de alto riesgo a un equipo sin experiencia ni formación adecuada

Controles que debería incluir un modelo de prevención y control corporativo:

– Formación adecuada por parte de profesionales expertos
– Plataforma de e-learning que permita las repeticiones que sean necesarias
– Contratación de personal experto que actúe como guía
– Hot line para la resolución inmediata de dudas
– Formación genérica en materia de riesgos laborales
– Formación específica en materia de riesgos asociados a las funciones asignadas
– Manual de uso de cada EPI (Equipo de protección individual)
– Formación específica en el uso de los EPIs
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
– Grabación en vídeo de los procesos críticos para conseguir trazabilidad
– Actos prohibidos
– Actos permitidos

Medidas de seguridad y protocolos

Escenario real: Medidas de seguridad y protocolos aparentemente no adaptados al riesgo del ébola.

Escenario corporativo: Medidas de seguridad proporcionadas al alto riesgo del proyecto

Controles que debería incluir un modelo de prevención y control corporativo:

– Medidas de seguridad adaptadas al riesgo de la actividad y al riesgo
– Medidas de prevención de riesgos laborales adaptadas a la actividad y al riesgo
– Protocolos actualizados
– Protocolo de adecuación y actualización del modelo de prevención
– Asimilación y difusión de la experiencia adquirida
– Estructura de control
– Nombramiento de supervisores
– Monitorización y seguimiento
– Comisión de seguimiento
– Gabinete de crisis
– Segregación de tareas
– Política de cuatro ojos
– Canal de comunicación de situaciones de riesgo
– Ficha de descripción del puesto de trabajo con las funciones asignadas
– Ficha de riesgos del puesto de trabajo con descripción de los EPIs
– Supervisión en el uso de los EPIs
Equipos de protección individual homologados
– Preparación y adecuación de las instalaciones
– Zonas de descontaminación
– Identificación del personal con acceso al proyecto
– Control de todo el ciclo de vida del proyecto
– Control de la fase posterior a la finalización del proyecto
– Control de los proveedores implicados en el proyecto
– Prohibición de subcontrataciones a los proveedores
– Monitorización de la salud del equipo durante el proyecto y en la fase posterior
– Seguimiento de los plazos de incubación en contactos directos e indirectos
– Protocolos de emergencia, cuarentena y aislamiento
– Gestión adecuada de los residuos contaminados

Como he comentado, esta selección de controles es una muestra minúscula, dado el alto riesgo del proyecto, pero si todos estos puntos parecen excesivos, sólo hay que mirar las consecuencias de su incumplimiento. Como dijo Paul McNulty: «If you think compliance is expensive, try non-compliance».

Bonus, riesgo moral y Código Penal

Posted on por

El bonus, como elemento de motivación y recompensa, sigue en el punto de mira, y no son pocos los que consideran que su uso desmedido ha sido uno de los factores que han contribuido a la crisis. La ecuación es fácil: apuesta por el crecimiento, objetivos agresivos, bonus millonarios, saturación del mercado, dificultad para colocar los productos tradicionales, creación de productos con mayor riesgo, etc. Ahora es fácil ver cómo, entre todos, hemos conseguido diseñar una tormenta perfecta. El análisis de los factores que la desencadenaron debería ser suficiente para prevenirlos, sin embargo, los ciclos de la economía demuestran que no es así.

Una teoría confirmada es la del riesgo moral. Cuando conseguimos que alguien se sienta protegido frente a las consecuencias, su comportamiento será distinto del que habría tenido en caso de estar expuesto a ellas. Por ejemplo, no es razonable esperar que el comportamiento de alguien que gestiona el capital de miles de accionistas sea el mismo que el del que gestiona su propio capital. Tampoco es razonable esperar que alguien rescatado de una situación crítica realice un enorme esfuerzo para evitar volver a caer, si tiene la certeza de que volverá a ser rescatado. Pedro Schwartz va más allá y traduce el concepto “moral hazard” como riesgo inducido, refiriéndose a aquellas situaciones en las que la recompensa o el eventual rescate actúan como inductores de una acción fraudulenta o perjudicial.

Conociendo la relación entre el bonus y los riesgos, y que incrementando la recompensa aumentamos las amenazas, resulta lógico definir un modelo de bonus prudente y equilibrado.

La reforma del Código Penal debería ayudar a definir correctamente la estructura de los bonus, ya que la política retributiva de una empresa puede evidenciar, tanto la existencia del control debido para la prevención de delitos, como su inexistencia. La estrategia de defensa del acusado en el caso de Société Générale fue justamente la excesiva presión comercial de la empresa, el bonus y la retirada de sus límites de contratación.

Una medida preventiva, orientada a evitar supuestos de responsabilidad penal de la empresa por los actos de directivos excesivamente motivados, consistiría en asociar los bonus a objetivos que no fuesen exclusivamente cuantitativos. Paralelamente a la apuesta por el crecimiento y la rentabilidad, es necesario vincular la remuneración variable a una serie de indicadores asociados a parámetros cualitativos medibles de forma continuada.

Por ejemplo, un bonus vinculado al ratio de solvencia o liquidez puede ser útil para el futuro financiero de la compañía, pero también una prueba clara de que se quiere evitar una situación de insolvencia perjudicial para el mercado y que puede ser punible.

Otros indicadores cualitativos que estarían asociados a bonus podrían ser: el correcto uso de la información privilegiada, la eliminación de la creatividad en la contabilidad corporativa, la erradicación de cualquier tipo de dádiva dirigida a funcionarios públicos, clientes o proveedores, el cumplimiento de la normativa medioambiental y urbanística, las buenas prácticas tributarias, la explotación del I+D+i propio y no el de competidores, la exigencia de que los fichajes de la competencia no aporten información confidencial, ni datos de clientes y un largo etcétera de comportamientos que formarían el capital ético de la empresa.

Estos objetivos son medibles y su control puede evitar el impacto reputacional y económico de una sentencia condenatoria, que perjudique seriamente el cumplimiento de otros objetivos tan deseados como vulnerables. Podemos verlo como un planteamiento excesivamente simplista si los resultados del trimestre son la máxima prioridad, pero si nuestro objetivo es a largo plazo, cumplir las reglas del juego deberá ser una parte esencial del negocio. Y lo sencillo es a veces lo más difícil.