El “Arte de la conjetura” es el título de la obra del matemático suizo Jakob Bernoulli , publicada en 1713 que, tras su muerte, daría lugar a la llamada “Ley de los grandes números”. Fueron los fundamentos de la teoría de la probabilidad, ampliamente desarrollada y difundida posteriormente, incluyendose en la esfera del Compliance.
De acuerdo con esta Ley, si lanzamos una moneda al aire 100 veces, obtendremos unos resultados que se acercarán a 50% respecto de cada una de sus caras. Y cuanto mayor sea el número de lanzamientos realizados, más se aproximarán los resultados agregados a esa media. Según esta aproximación matemática, es posible realizar ejercicios fiables de prognosis partiendo de un número de casos suficientemente elevado.
La metodología más extendida para la evaluación de riesgos se basa en la probabilidad de un suceso, y las consecuencias estimadas en caso de producirse. Es una aproximación clásica que sigue estándares generalmente aceptados, como la norma ISO 31000 sobre gestión del riesgo. Aunque los estándares ISO sobre Compliance no obligan a desarrollar las evaluaciones de riesgos según dicha norma internacional, lo cierto es que comparten su filosofía cuando se refieren a factores de probabilidad y de impacto.
La fiabilidad de la predicción matemática de eventos guarda relación con el volumen y calidad de la muestra previa: cuanto mejor sea, más fiables serán los resultados que arroje. Sin embargo, en materia de Compliance, encontramos una gran cantidad de incidentes singulares que carecen de antecedentes comparables. Tal circunstancia no sólo dificulta fundamentar sólidamente un juicio de pronóstico sobre su reiteración, sino también la potencial materialización de otros distintos que están aún por suceder.
En el ámbito del Compliance penal esta dificultad es evidente, pues las organizaciones involucradas en procedimientos criminales rara vez han sido previamente condenadas por hechos similares. El principio de subsidiariedad del Derecho penal sólo le otorga protagonismo cuando es imposible recurrir a medidas menos lesivas. Por eso, los incidentes de naturaleza penal en las organizaciones son infrecuentes, aunque, cuando se materializan, sus consecuencias pueden ser catastróficas, capaces incluso de amenazar la continuidad de las operaciones. Esta singularidad obliga a plantearse dos cuestiones estrechamente vinculadas con su excepcionalidad en el seno de organizaciones no delictivas.
En primer lugar, la evaluación de probabilidad de ocurrencia de un incidente de Compliance penal difícilmente puede estimarse atendiendo al historial de la organización en materia criminal, pero sí considerando las irregularidades sin trascendencia penal o incluso el fraude interno. Ambas esferas proporcionan bastantes más datos y denotan la robustez del entorno de Control. La Circular 1/2016 de la Fiscalía General del Estado evita referirse a los programas o sistemas de Compliance penal, citando hasta la saciedad los “modelos de organización y gestión” del tenor literal del artículo 31 bis del Código penal español. La Circular se decanta por modelos para cumplir la legalidad en general, incluyendo la penal, y apuesta por alcances de Compliance amplios que faciliten considerar más información que la penal -que tendrá siempre un marcado carácter excepcional-. Podría decirse que las irregularidades penales conforman la patología más grave de incidentes de Compliance, que se evita monitorizando las más leves y procesando la información que nos brindan. Esto explica por qué las organizaciones, tras dotarse de modelos de Compliance penal, migran a enfoques más amplios que les permitien optimizar y rentabilizar aquellos modelos inicialmente ideados para prevenir la comisión de delitos.
En segundo lugar, lo nocivo de los incidentes de Compliance penal obliga a disponer de procedimientos rápidos para su comunicación y gestión. En bastantes ocasiones, se trata de riesgos de evolución rápida que, como señala COSO 13, incrementan su potencial dañíno a gran velocidad y sobre los que procede actuar sin demora. Por ello, su gestión interna no debería seguir el curso ordinario, basado normalmente en periodos de reporte prefijados. Establecer procedimientos de urgencia para trasladar estos riesgos en sus etapas incipientes es todo un clásico en los sistemas de gestión de Compliance modernos. Es uno de los motivos que justifica la proximidad de la función de Compliance a los máximos órganos de gobierno social. La singularidad de las irregularidades de Compliance penal y su carácter dañino, obligan a recurrir a estos procedimientos.
En algunas ocasiones, la incapacidad para detectar o gestionar a tiempo incidentes de Compliance obedece a la inexistencia o inadecuación de estos procedimientos especiales. Cuando se materializan, debe analizarse qué ha fallado, como explico en el video número 4 de la Serie dedicada a la entrevista forense de Compliance . La organización debe estar en disposición de narrar y convencer acerca de los medios que dispuso para gestionar una situación irregular, cual es la materialialización de un incidente grave de Compliance.
Socio responsable de Cumplimento Legal. Especialista en modelos de cumplimiento y prevención penal, Alain es socio de KPMG Abogados desde el año 2000.
