GESTION DE RIESGOS EN COMPLIANCE;
EMPEZANDO LA CASA POR LA VENTANA
En otro post
nos referimos a las asignaturas pendientes en compliance, entre las que merece
una especial mención la gestión de riesgos legales, máxime cuando el modelo de
gestión de cumplimiento basado en riesgos (Risk
based approach) se perfila como el estándar que habrá que seguir en los
próximos años en la ardua tarea de unificar criterios para abordar la materia
desde un plano global que permita atajar conductas fraudulentas sin que las
empresas ilegales (como se han venido en llamar aquéllas en que su actividad
ilegal prima sobre la legal) aprovechen las lagunas entre jurisdicciones
locales para llevar a cabo sus viles propósitos.
La gestión de riesgos (Risk management o RM) es una disciplina de todo punto novedosa
en España, encontrándose, como el que dice, en pañales, en el ámbito
supranacional, en el que hasta fecha muy reciente, no había un entorno
generalmente aceptado de cumplimiento en el área de riesgos. Pero el ámbito que
nos interesa en compliance está en los riesgos empresariales (Entreprise risk management o ERM), entre
los que deben de estar los legales, y dentro de ellos los penales. Como
decíamos en anteriores posts, en compliance se entrecruzan las piezas del
puzzle de la normativa empresarial, en las que el programa ha de encajar a la
perfección con el resto de funciones de la empresa (riesgos, control interno,
auditoría y contabilidad, etc, etc); las incoherencias entre los documentos que
componen la “ley interna” de la empresa dirán muy poco a favor de la eficacia
de nuestro Programa de compliance en el hipotético caso de tener que defenderlo
ante un juez. Estos detalles se tornarán cruciales en un momento dado y los
buenos fiscales se fijarán en ellos para derrumbar las explicaciones de las
defensas.
No descubro
nada si digo que hay poco desarrollo en el área de estándares internacionales
generalmente aceptados en materia de Risk
management. El primero que se creó para mitigar los riesgos surgidos tras
los escándalos financieros previos a la crisis de 2008 y el caos en que se sumió el entorno financiero global; cuando
COSO (Comitte of Sponsoring Organizations of the Treadway Commission)
emitió su Enterprise Risk Management –
Integrated Framework en 2004. Este entorno abarca tanto el RM, el Control
interno como la Investigación del fraude. Precisamente el entorno de control de
1992 fue renovado recientemente en 2013 con la incorporación del llamado
reporte integrado (IR) en el entorno de gestión de riesgos. Esto merece
atención aparte.
Más tarde,
en 2009 nace ISO 31000 como un entorno genérico global, más alejado
del carácter marcadamente financiero del que siempre se ha venido acusando a
COSO (no en vano nació de la Dodd´s Frank Act en EEUU como entorno de gestión
de riesgos en el reporte financiero, buena prueba de ello que el entorno de
control se ha cambiado con ésta como mencionamos más arriba). Pero ISO 31000 no
se puede decir que haya encontrado todavía una aceptación generalizada por las
instituciones normalizadoras de los diferentes países. La norma no es certificable, es muy esquemática y requiere de un
desarrollo y divulgación (por no decir evangelización) que están llevando a
cabo entidades del estilo de GR31000 que preside Alex Dali en París, con
intención de convertirse en referente en la especialidad, pero que, a título de
ejemplo del grado de implementación de la norma, este invierno impartieron el
primer curso certificado de RM según ISO31000, de dos días de duración, muy
básico de introducción a la disciplina, en el que quien suscribe tuvo el honor
de colaborar en la promoción digital del evento.
Los avances
conseguidos en el área de prevención del blanqueo han ayudado a “evangelizar”
al destinatario de la norma en el nuevo enfoque (Risk based approach), pero no es comparable a la nueva situación,
ya que en blanqueo los riesgos son producto de operativas sofisticadas y por
ello se ha facilitado el risk assesment mediante
listas cerradas como la de GAFI, mientras que para el elenco de delitos que
aplican a las personas jurídicas no hay ningún patrón al uso, por lo que los
empresarios y consultores tendrán que vérselas y deseárselas para generar la
prueba de su futura exoneración.
Y esto no es
de extrañar si pensamos que hasta hace muy poco los únicos que manejaban el concepto
de riesgo con familiaridad eran los actuarios y gente muy especializada del
sector seguros. AGERS en España tiene mucho que decir en este sentido, tomando
el timón de una formación de rigor sobre una materia tan trascendental como
desconocida, y desde aquí hago un llamamiento.
La situación
no es exclusiva de España; en Reino Unido el despacho Berwin publicó en octubre
de 2013 un trabajo Legal Risk Benchmarking Report: Survey Results and Analysis en el que analizaba el grado de cultura
del riesgo e implementación del RM entre directivos de las empresas británicas
más representativas en cada sector, y el resultado fue menos que modesto; la
identificación de riesgos era la principal prioridad, veían dificultades en
extender la cultura del riesgo fuera del Consejo de Admón de la compañía; y
todos veían serias debilidades en la función legal para manejar el control de
riesgos legales. Estas fueron las pobres conclusiones a que pudieron llegar los
participantes sin faltar a la verdad …
Pero al
menos los países desarrollados cuentan todos con organismos como el IRM (Institute of Risk Management)
dedicados a la divulgación de conceptos y a la creación de una cultura del
riesgos como base en la que cimentar el paradigma regulatorio de lo que está
por venir.
Pero
entonces; por qué Compliance y RM no van de la mano en un único estándar?
No habría,
tal vez, que desarrollar el concepto de riesgo antes otorgar rango de ley penal
a Compliance? ¿De verdad piensa el legislador que el “estado del arte” en la
materia es suficiente para basar en ella toda una política criminal? (Pregunto)
Creo que
falta mucho camino por recorrer en España, y que en cierto modo se está
construyendo la casa por el tejado, una vez más estamos levantando los
cimientos del sistema llamado a recuperar la confianza en la economía, la
recuperación del llamado principio de seguridad pasiva, por el que se puede
confiar en unos mínimos de solvencia y honestidad en los agentes del mercado;
sobre la base de conceptos jurídicos indeterminados, sobre disciplinas como la
gestión de riesgos, que, de momento, no arrojan el nivel de madurez necesario
para garantizar la taxatividad suficiente de la ley en pos de la salvaguarda de
la añorada seguridad jurídica.
Ya lo dijo
el propio Ministro de Justicia en las Jornadas de Derecho Penal Económico que
se celebraron el pasado junio organizadas por Iuris Law Institute en Madrid; la
justicia es un sector estratégico, pues la seguridad jurídica y eficiencia
judicial son el primer paso a la seguridad de los inversores. Pues que se
apliquen el cuento.
No hay comentarios:
Publicar un comentario