Curso de compliance

Nuestro despacho va a lanzar en marzo un curso de compliance de 150 horas que tendrá tres formatos alternativos:

Presencial – 5 meses (50 horas presenciales + 100 horas online)
Presencial intensivo – 2 días (16 horas presenciales + 134 horas online)
Online (150 horas online)

Las características diferenciales de este curso son las siguientes:

– En las dos modalidades presenciales no se superarán los 10 asistentes por clase con el fin de conseguir el máximo aprovechamiento en los debates, talleres y casos prácticos.

– Toda la formación será impartida por abogados en ejercicio, por lo que  irá orientada a la aplicación práctica de la metodología a la función de compliance.

– La metodología irá orientada específicamente a la prevención de la responsabilidad de la empresa y del directivo.

– Se realizarán 20 talleres de aplicación y prueba de medidas preventivas y controles específicos.

– Se analizarán y resolverán 40 casos prácticos.

– Se analizarán 50 escenarios de riesgo con sus respectivos controles y evidencias.

– Se revisarán 20 actividades críticas que habitualmente se externalizan.

– Se identificarán 20 categorías de proveedores críticos de diversos sectores.

– Se explicará la metodología de control de los proveedores críticos.

– Se explicará el uso de herramientas informáticas de análisis de riesgos, gestión de controles y de evidencias.

Si deseas que te envíe el programa y el precio del curso en sus tres modalidades te ruego que me lo indiques enviando un mensaje a xavier.ribas@ribastic.com

Te ruego también que especifiques cuál de los tres formatos te interesa más.

El programa coincide en estructura y alcance con la metodología Compliance 3.0 desarrollada y registrada por nuestro despacho, por lo que su distribución está restringida.

Riesgo residual y riesgo aparente

En la navegación a vela se llama viento aparente al resultado que se produce cuando al viento real se suma el generado por la propia velocidad de la embarcación. Se produce una discrepancia entre la realidad ambiental y la que el tripulante percibe, que en este caso es positiva, ya que el viento aparente hace que la embarcación alcance una velocidad muy superior a la del viento real. Gracias a ello, los superveleros de la Copa América pueden alcanzar velocidades superiores a los 20 nudos con vientos de 12 nudos.

En el mundo de la empresa se llama riesgo residual al resultado de restar al riesgo real el efecto de las medidas preventivas y los controles. En el plano teórico, el objetivo es que el riesgo residual tienda a ser cero, ya que el valor asignado al control debe ser cercano o igual al valor asignado al riesgo.

Digo en el plano teórico, porque en la práctica el riesgo real es difícil de medir, el control es relativo y su eficacia es meramente especulativa. Todo ello hace que no podamos hablar de riesgo residual, sino de riesgo aparente, ya que, al igual que en la navegación a vela, se produce una discrepancia entre la realidad ambiental y la que la empresa percibe. Pero en este caso el efecto es negativo, ya que trabajar con riesgos residuales cercanos a cero puede dar una sensación falsa de seguridad y tranquilidad que puede llegar a ser muy peligrosa.

En la prevención de la responsabilidad penal de las empresas y los directivos, ¿las empresas están trabajando con riesgos residuales o con riesgos aparentes?

La respuesta es muy fácil. Si en el análisis de riesgos se ha asignado un valor 5 al riesgo de corrupción, y un valor 4,5 a la existencia de un código ético que prohíbe la corrupción en la empresa, decir que el valor residual es 0,5 es una aberración.

Desgraciadamente, el riesgo es siempre aparente y la seguridad es pura percepción, por lo que una actividad preventiva eficaz no puede estar basada exclusivamente en un modelo teórico que arroje un riesgo residual bajo. Sería lo mismo que confiar en los buenos resultados de una startup fijándonos sólo en su plan de negocio.

Por otro lado, el valor residual de un mes no tiene nada que ver con el del mes siguiente, por lo que de nada sirve basar la actividad preventiva en un análisis hecho hace dos años.

El control debe ser por lo tanto continuado, adaptado, cercano a la fuente del riesgo, actualizado, desconfiado, experto, comprobado, auditado, acreditado y basado en evidencias.

El riesgo nunca es residual, ya que el control nunca es constante, y su eficacia tampoco.

10 errores habituales en el análisis de riesgos

El proyecto de reforma del Código Penal y la certificación Iuriscert de AENOR en relación a los sistemas de prevención de delitos en las empresas dan mucha importancia al proceso de análisis de riesgos. Desde la reforma de 2010 muchas empresas han basado el diseño de su modelo de prevención y control de delitos en un mapa de riesgos elaborado internamente o a través de un consultor externo. En este artículo resumo mi opinión personal sobre los informes que he revisado y en especial, sobre los errores que, a mi modo de ver, se repetían en ellos, y que podían distorsionar los resultados.

1. Basar el análisis exclusivamente en fórmulas matemáticas

Los cálculos relativos a la probabilidad y al impacto de los riesgos analizados pueden realizarse manualmente o con el apoyo de aplicaciones y hojas de cálculo. Estas herramientas son de gran ayuda, pero no pueden ser el único soporte del análisis de los riesgos. Las fórmulas deben contener factores de ponderación que permitan ajustar los cálculos a la realidad, a través de multiplicadores y divisores que tengan en cuenta el contexto. Pero lo más importante es que el análisis lo realice un profesional especializado, que tenga conocimientos de las dinámicas comisivas, del sector al que pertenece la empresa y del factor humano, que hace que cada empresa sea distinta. Una vez obtenidos los resultados, debe aplicarse el filtro del sentido común, basado en este caso en la experiencia del profesional que firma el informe y en una visión en conjunto del análisis, que compare la valoración de cada riesgo con todos los demás, asegurando que se cumple el principio de proporcionalidad.

2. Aplicar un factor multiplicador excesivo a la existencia de un precedente

En uno de los informes revisados, que correspondía a una empresa industrial, el delito de pornografía infantil apareció en el grupo de los delitos con mayor probabilidad de comisión. Ello se debía a que el consultor había utilizado un algoritmo que aplicaba un factor multiplicador a la existencia de un precedente relativo a ese delito en la empresa. Incluso en el caso de no utilizar herramientas informáticas, la existencia de un precedente se valora excesivamente en los informes analizados. El profesional que realiza el análisis debería tener en cuenta todos los factores, y realizar un juicio de proporcionalidad, teniendo en cuenta el contexto, los restantes riesgos y la probabilidad de que el delito vuelva a cometerse. También debe tenerse en cuenta la antigüedad y las circunstancias del precedente, ya que pueden haberse producido cambios en la empresa y en las personas que participaron en él. En el caso concreto analizado, la persona que cometió el delito ya no estaba en la empresa.

3. Basar el análisis de la probabilidad exclusivamente en la opinión del cliente

Sería pecar de frivolidad aplicar a este caso la frase “los pacientes siempre mienten”del Dr. House, porque no es cierto que los clientes siempre mientan. El problema es que no son objetivos. No pueden serlo. Podríamos decir que el cliente está contaminado por las prácticas de la empresa y del sector al que pertenece y le cuesta tener una visión que se sitúe por encima de lo que está acostumbrado a ver. Tampoco conoce las dinámicas comisivas ni los factores de riesgo. Además, puede estar afectado por la “niebla de la batalla”, es decir, la dificultad para sacar conclusiones a largo plazo o de tener una visión completa de todo el escenario a causa de la constante atención que requieren los asuntos a resolver diariamente y las urgencias del negocio. En este caso incluyo en el concepto cliente al conjunto de personas entrevistadas durante el proceso de análisis de riesgos. El cliente es un gran experto en su empresa y nos va ayudar mucho a conocer sus puntos débiles, pero no puede convertirse en absoluto en la única fuente de información. El profesional debe documentarse y tener en cuenta el conocimiento que él mismo puede aportar al análisis a través de otras fuentes de información y de su propia experiencia.

4. Basar el análisis del impacto exclusivamente en la opinión del cliente

En mi opinión es un error partir exclusivamente de las respuestas del cliente para calcular el impacto económico y reputacional de la comisión de un delito en el seno de la empresa. Un área en la que los profesionales podemos aportar conocimiento es justamente en la valoración económica de las consecuencias de un delito. Los abogados, por ejemplo, podemos analizar la jurisprudencia y conocer el rango en el que se mueven las indemnizaciones por responsabilidad civil derivada de un delito. Podemos también cuantificar las multas aplicables a cada tipo penal y los distintos supuestos agravados. Asimismo, podemos apoyarnos en expertos para cuantificar el impacto de cada delito en la marcha del negocio y para analizar los posibles daños en la reputación de la empresa en el mercado, la presumible reacción de los clientes y su comportamiento en materia de pedidos. A pesar de la importancia de este trabajo casi todos los informes que he revisado basan el análisis del impacto exclusivamente en la opinión del cliente. Y después incluyen un disclaimer exonerándose de cualquier tipo de responsabilidad por los errores de valoración, ya que el análisis lo ha hecho el cliente y no ellos. Supongo que por eso se dice que se paga a los consultores para que te digan lo que ya sabes, pero lo que encuentro excesivo es que encima te lo pregunten a ti y no lo averigüen por otros canales para confirmar que las conclusiones son acertadas.

5. Utilizar al cliente como única fuente de información sin aportar valor al análisis

Este punto es una conclusión de los dos anteriores. Considero que el profesional al que se le encomienda la valoración del riesgo penal debe tener experiencia en el sector, conocimiento de las dinámicas comisivas y de los riesgos, así como fuentes de información suficientes para que su intervención en el proyecto sea valiosa y no se limite a transcribir lo que opinan los interlocutores entrevistados.

6. No tener en cuenta el factor humano y el instinto defensivo del interlocutor

Los interlocutores entrevistados tienen habitualmente escasa práctica en materia de autodianóstico y autocrítica. Además de los factores culturales, es inevitable que el entrevistado se sienta de alguna manera investigado y adopte una posición defensiva, como si de un interrogatorio se tratara. Esta reacción es muy humana y obliga a un trabajo previo de distensión y de información sobre el objetivo final del proyecto. A pesar de esta preparación previa, las repuestas del entrevistado pueden estar contaminadas por el miedo y ocultar situaciones de riesgo. También pueden centrase excesivamente en la labor preventiva realizada para justificar su trabajo. Este esfuerzo de justificación dilata mucho las entrevistas, ya que cada pregunta tiene como respuesta un arsenal de argumentos defensivos que además distorsionan los resultados. Esta es una razón más que obliga a ponderar los resultados con otras fuentes de información y con la habilidad de identificar los riesgos que han quedado ocultos a causa de las estrategias de autodefensa.

7. No apreciar el traspaso de responsabilidades entre departamentos

El efecto inmediato de la estrategia de autodefensa del entrevistado es un truco de prestidigitación que consiste en que, al acabar la entrevista, el consultor está convencido de que el riesgo se concentra en otro departamento. Esta habilidad, innata o adquirida, consciente o inconsciente, se potencia en las empresas en las que se producen duplicidades organizativas, se asignan competencias similares a distintos departamentos o bien las funciones de control no están correctamente establecidas. Un error habitual es dejarse llevar por acusaciones interdepartamentales, aunque éstas no sean evidentes. Esta maniobra de distracción hace que no se profundice en el análisis de riesgos del departamento entrevistado y que se sobrevaloren los riesgos de otros departamentos.

8. No comparar los resultados del análisis con el mapa de riesgos sectorial

Para evitar que la subjetividad en las respuestas del entrevistado nos contamine, tenemos que haber hecho antes los deberes. Lo ideal es haber elaborado un mapa de riesgos sectorial que nos sirva de referencia para comprobar si la empresa se ajusta o no al patrón y, en caso negativo, conocer las causas. Es posible que el interlocutor esté hablando constantemente en términos de riesgo residual, es decir el que permanece tras la aplicación de los controles. Valorar el riesgo en estas condiciones sería como medir el viento desde un coche en marcha. En los informes revisados no he encontrado referencia alguna a la situación de la empresa en relación al mapa de riesgos del sector.

9. Presentar los resultados sin haber aplicado el filtro del sentido común

El informe en que se consideraba altamente probable el delito de pornografía infantil en una empresa industrial no se habría llegado a presentar si se hubiese realizado un juicio previo de proporcionalidad. No es lógico que en el sector industrial la probabilidad de que este riesgo se materialice esté por encima del relativo al delito medioambiental, por ejemplo. Antes de presentar el informe a un Consejo de Administración hay que realizar una comprobación tan simple como la de someter las conclusiones finales a los principios básicos del sentido común.

10. Atribuir al cliente los errores que se produzcan en la valoración del riesgo

Y lo que considero fuera de lugar, aunque el socio que firma el informe esté atormentado por su departamento de Risk Management, es incluir un disclaimer que reconozca literalmente que no se ha hecho un análisis de riesgos sino que la labor del consultor se ha limitado a solicitar la opinión del cliente y a transcribirla en el informe, por lo que si el cliente está equivocado, la firma consultora no tiene la culpa. Considero que el cliente espera algo más de la firma a la que ha solicitado que valore sus riesgos. Cuando vamos a un centro médico de reconocido prestigio para realizar un chequeo lo último que esperamos es que el médico se limite a preguntarnos cómo nos encontramos. Nuestro cuerpo, los instrumentos de medición y los análisis clínicos son fuentes de información mucho más fiables que nuestra simple opinión no experta. Aunque nos conozcamos muy bien. El cliente confía en nuestro criterio y en un cierto nivel de implicación en la valoración de sus riesgos. Implicación que debería extenderse a la propuesta de soluciones. Pero es de suponer que el propio disclaimer habrá dejado bien claro que eso no forma parte del alcance del trabajo contratado y que hay que pedir otro informe en el que habrá otro disclaimer que exonerará de responsabilidad a la firma consultora, porque las soluciones propuestas también se basan en la información suministrada por el cliente, y no en la creatividad y el talento que cabría esperar a la vista de las facturas suministradas por la consultora.

El caso Pescanova y la gestión de modelos anticontrol

Esta semana se ha hablado mucho del informe de auditoría forense de KPMG sobre el caso Pescanova y sus conclusiones invitan a analizar los hechos desde el punto de vista de un modelo teórico, como los casos que se estudian en las universidades y las escuelas de negocios, escapando a cualquier valoración que pueda comprometer la presunción de inocencia de los imputados.

Además de los sistemas de control clásicos y de los sucesivos códigos de buen gobierno, las empresas españolas llevan tres años intentando aplicar modelos de prevención y control de delitos que en muchos casos están inspirados en los sistemas de “corporate defense” anglosajones. Esta inspiración es debida a la falta de una descripción detallada del modelo de prevención y control en el artículo 31 bis del Código Penal creado en 2010, aunque este vacío será probablemente superado en la reforma propuesta en el anteproyecto de este año.

En estos tres años hemos comprobado las enormes dificultades de implantar un modelo de control en las grandes empresas y especialmente, conseguir que se implante una cultura de control permanente en todos los niveles de la organización.

Sin embargo, cuando uno lee las conclusiones del informe de KPMG se plantea si es más difícil y sostenible en la práctica aplicar un modelo de control o un modelo de elusión del control.

Nos hemos hartado de repetir que cualquier proyecto de compliance exige la implicación y el impulso de la alta dirección de la empresa, pero ¿qué pasa cuando la alta dirección tiene su propio proyecto de no compliance? Es evidente la inutilidad de unas medidas y un órgano de control cuya autoridad emana directamente de un órgano superior que niega ese control.

Siguiendo el análisis teórico, cabe identificar las medidas anticontrol que pueden extraerse del informe y valorar si son sostenibles en el tiempo. Las características que podrían incluirse en un modelo teórico de anticontrol son las siguientes:

  1. Planificación previa y continuada en el tiempo
  2. Implicación e impulso de la alta dirección de la empresa
  3. Acuerdo en la instrucción, ejecución y validación de las operaciones
  4. Neutralización de la segregación de tareas a través de operaciones concertadas
  5. Coordinación entre Presidencia, Dirección Financiera y Auditoría Interna
  6. Implicación del máximo responsable del órgano de control

Como era de suponer, los fundamentos de un modelo teórico de anticontrol son idénticos a los de un modelo de control, pero con una finalidad absolutamente distinta, que lo hace difícil de mantener en el tiempo, dada su fragilidad. Si difícil es la aplicación de un código ético, más difícil puede ser un código de silencio en una estructura sujeta a tensiones internas y externas.

Cualquier modelo teórico como el analizado tiene varios factores claros en contra: el mercado (puedes engañar a muchos durante poco tiempo) los accionistas, los auditores, y el regulador (puedes engañar a pocos durante mucho tiempo) y la tecnología, que registra toda la actividad de la empresa como si fuese la caja negra de un avión, almacena los mensajes de correo electrónico enviados con una creencia infundada de que se autodestruirán tras su lectura, detecta la inconsistencia de las operaciones contables y ayuda a que, a pesar de la complejidad del modelo, no se pueda engañar a muchos durante mucho tiempo.

La exención de la responsabilidad penal corporativa en la futura reforma del Código Penal

El anteproyecto de reforma del Código Penal elaborado por el Ministerio de Justicia detalla los requisitos que deben cumplir los modelos de prevención y control (Corporate defense) para que las empresas queden exentas de responsabilidad penal.

El texto recoge y desarrolla el criterio manifestado en la Circular 1/2011 de la Fiscalía General del Estado en relación al llamado “makeup compliance”, representado por protocolos escritos y modelos teóricos que se limitan a describir los sistemas de control y prevención de delitos diseñados, y en muchos casos no aplicados, por las empresas para eludir la responsabilidad penal.

REQUISITOS PARA LA EXENCIÓN DE RESPONSABILIDAD PENAL

La empresa podrá quedar exenta de responsabilidad si prueba que se dan las siguientes circunstancias:

1. Disponer de un modelo de organización y gestión adoptado por el órgano de administración

2. Que incluya medidas de vigilancia y control idóneas para prevenir delitos de la misma naturaleza que los cometidos

3. El modelo de prevención y control debe haber sido ejecutado con eficacia

4. Antes de la comisión del delito

5. Debe existir una supervisión del funcionamiento y del cumplimiento del modelo de prevención

6. Asignada a un órgano de la empresa con poderes autónomos de iniciativa y control

7. El autor del delitos tiene que haber eludido de forma fraudulenta las medidas de control

8. No tiene que haberse producido una omisión o un control insuficiente por parte del órgano de supervisión. Se confirma por lo tanto nuestro criterio de que la tolerancia equivale a la derogación del control

9. Si estos requisitos sólo pueden ser acreditados parcialmente, ello será valorado a los efectos de atenuación de la pena, pero no habrá exención de la responsabilidad penal. Se refuerza por lo tanto la necesidad de disponer de medios de prueba que acrediten la efectiva aplicación de las medidas de prevención y control.

REQUISITOS DE LOS MODELOS DE PREVENCIÓN

Los modelos de prevención y control dirigidos a prevenir los delitos de los representantes legales y de los directivos deberán cumplir los siguientes requisitos:

1. Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2. Establecerán los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos.

3. Dispondrán de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos.

4. Impondrán la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención.

5. Establecerán un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo.

Los modelos de prevención y control dirigidos a prevenir los delitos de los trabajadores deberán cumplir los siguientes requisitos:

1. Las medidas de prevención y control deberán:

  • Estar adaptadas al tamaño de la empresa
  • Estar adaptadas al tipo de actividades que se llevan a cabo
  • Garantizar el desarrollo de la actividad empresarial conforme a la Ley
  • Permitir la detección rápida y prevención de situaciones de riesgo

2. El funcionamiento eficaz del modelo de prevención requerirá:

  • Una verificación periódica del mismo
  • Una modificación cuando se produzcan infracciones relevantes de sus disposiciones
  • Una actualización cuando se produzcan cambios relevantes en la organización, en la estructura de control o en la actividad desarrollada
  • Un sistema disciplinario que sancione adecuadamente las infracciones de las medidas de control y organización establecidas en el modelo de prevención

CONCLUSIONES

Si la reforma prevista del Código Penal mantiene este texto se habrá producido una ampliación clara de los requisitos exigidos para la exención de la responsabilidad penal de las empresas y será necesaria una actividad de recopilación y conservación de evidencias orientada a acreditar la eficacia de las medidas de prevención y control en la práctica.