GESTION DE RIESGOS EN COMPLIANCE;

                      EMPEZANDO LA CASA POR LA VENTANA

En otro post nos referimos a las asignaturas pendientes en compliance, entre las que merece una especial mención la gestión de riesgos legales, máxime cuando el modelo de gestión de cumplimiento basado en riesgos (Risk based approach) se perfila como el estándar que habrá que seguir en los próximos años en la ardua tarea de unificar criterios para abordar la materia desde un plano global que permita atajar conductas fraudulentas sin que las empresas ilegales (como se han venido en llamar aquéllas en que su actividad ilegal prima sobre la legal) aprovechen las lagunas entre jurisdicciones locales para llevar a cabo sus viles propósitos.

La gestión de riesgos (Risk management o RM) es una disciplina de todo punto novedosa en España, encontrándose, como el que dice, en pañales, en el ámbito supranacional, en el que hasta fecha muy reciente, no había un entorno generalmente aceptado de cumplimiento en el área de riesgos. Pero el ámbito que nos interesa en compliance está en los riesgos empresariales (Entreprise risk management o ERM), entre los que deben de estar los legales, y dentro de ellos los penales. Como decíamos en anteriores posts, en compliance se entrecruzan las piezas del puzzle de la normativa empresarial, en las que el programa ha de encajar a la perfección con el resto de funciones de la empresa (riesgos, control interno, auditoría y contabilidad, etc, etc); las incoherencias entre los documentos que componen la “ley interna” de la empresa dirán muy poco a favor de la eficacia de nuestro Programa de compliance en el hipotético caso de tener que defenderlo ante un juez. Estos detalles se tornarán cruciales en un momento dado y los buenos fiscales se fijarán en ellos para derrumbar las explicaciones de las defensas.

No descubro nada si digo que hay poco desarrollo en el área de estándares internacionales generalmente aceptados en materia de Risk management. El primero que se creó para mitigar los riesgos surgidos tras los escándalos financieros previos a la crisis de 2008 y el caos en que se sumió el entorno financiero global; cuando COSO (Comitte of Sponsoring Organizations of the Treadway Commission) emitió su Enterprise Risk Management – Integrated Framework en 2004. Este entorno abarca tanto el RM, el Control interno como la Investigación del fraude. Precisamente el entorno de control de 1992 fue renovado recientemente en 2013 con la incorporación del llamado reporte integrado (IR) en el entorno de gestión de riesgos. Esto merece atención aparte.

Más tarde, en 2009 nace ISO 31000 como un entorno genérico global, más alejado del carácter marcadamente financiero del que siempre se ha venido acusando a COSO (no en vano nació de la Dodd´s Frank Act en EEUU como entorno de gestión de riesgos en el reporte financiero, buena prueba de ello que el entorno de control se ha cambiado con ésta como mencionamos más arriba). Pero ISO 31000 no se puede decir que haya encontrado todavía una aceptación generalizada por las instituciones normalizadoras de los diferentes países. La norma no es certificable, es muy esquemática y requiere de un desarrollo y divulgación (por no decir evangelización) que están llevando a cabo entidades del estilo de GR31000 que preside Alex Dali en París, con intención de convertirse en referente en la especialidad, pero que, a título de ejemplo del grado de implementación de la norma, este invierno impartieron el primer curso certificado de RM según ISO31000, de dos días de duración, muy básico de introducción a la disciplina, en el que quien suscribe tuvo el honor de colaborar en la promoción digital del evento.

Los avances conseguidos en el área de prevención del blanqueo han ayudado a “evangelizar” al destinatario de la norma en el nuevo enfoque (Risk based approach), pero no es comparable a la nueva situación, ya que en blanqueo los riesgos son producto de operativas sofisticadas y por ello se ha facilitado el risk assesment mediante listas cerradas como la de GAFI, mientras que para el elenco de delitos que aplican a las personas jurídicas no hay ningún patrón al uso, por lo que los empresarios y consultores tendrán que vérselas y deseárselas para generar la prueba de su futura exoneración.

Y esto no es de extrañar si pensamos que hasta hace muy poco los únicos que manejaban el concepto de riesgo con familiaridad eran los actuarios y gente muy especializada del sector seguros. AGERS en España tiene mucho que decir en este sentido, tomando el timón de una formación de rigor sobre una materia tan trascendental como desconocida, y desde aquí hago un llamamiento.

La situación no es exclusiva de España; en Reino Unido el despacho Berwin publicó en octubre de 2013 un trabajo Legal Risk Benchmarking Report: Survey Results and Analysis en el que analizaba el grado de cultura del riesgo e implementación del RM entre directivos de las empresas británicas más representativas en cada sector, y el resultado fue menos que modesto; la identificación de riesgos era la principal prioridad, veían dificultades en extender la cultura del riesgo fuera del Consejo de Admón de la compañía; y todos veían serias debilidades en la función legal para manejar el control de riesgos legales. Estas fueron las pobres conclusiones a que pudieron llegar los participantes sin faltar a la verdad …

Pero al menos los países desarrollados cuentan todos con organismos como el IRM (Institute of Risk Management) dedicados a la divulgación de conceptos y a la creación de una cultura del riesgos como base en la que cimentar el paradigma regulatorio de lo que está por venir.

Pero entonces; por qué Compliance y RM no van de la mano en un único estándar?

No habría, tal vez, que desarrollar el concepto de riesgo antes otorgar rango de ley penal a Compliance? ¿De verdad piensa el legislador que el “estado del arte” en la materia es suficiente para basar en ella toda una política criminal? (Pregunto)

Creo que falta mucho camino por recorrer en España, y que en cierto modo se está construyendo la casa por el tejado, una vez más estamos levantando los cimientos del sistema llamado a recuperar la confianza en la economía, la recuperación del llamado principio de seguridad pasiva, por el que se puede confiar en unos mínimos de solvencia y honestidad en los agentes del mercado; sobre la base de conceptos jurídicos indeterminados, sobre disciplinas como la gestión de riesgos, que, de momento, no arrojan el nivel de madurez necesario para garantizar la taxatividad suficiente de la ley en pos de la salvaguarda de la añorada seguridad jurídica.

Ya lo dijo el propio Ministro de Justicia en las Jornadas de Derecho Penal Económico que se celebraron el pasado junio organizadas por Iuris Law Institute en Madrid; la justicia es un sector estratégico, pues la seguridad jurídica y eficiencia judicial son el primer paso a la seguridad de los inversores. Pues que se apliquen el cuento.