Medición de eficacia en modelos de Compliance

Cualquier organización puede querer demostrar que no sólo dispone de un modelo de Compliance, sino que, además, es eficaz. Esto significa que sus componentes no sólo están adecuadamente representados sobre el papel, sino que han sido desplegados y aplicados adecuadamente. Por lo general, se desarrollan pruebas sustantivas (testeos) y se procesa la información resultante para soportar conclusiones fiables. Suele recurrirse a la técnica del muestro de controles, que será adecuada siempre que esa muestra sea lo bastante extensa y bien seleccionada como para representar al conjunto de controles que conforman el modelo de Compliance evaluado. En caso contrario, la conclusión puede ser poco sensata, aunque tenga un aire de precisión científica.

Ya en el año 1954 el escritor estadounidense Darrell Huff denunció que el lenguaje de las estadísticas, tan atrayente en una cultura que se basa en los hechos, se emplea para causar sensación, deformar, confundir y simplificar en demasía. Por eso, cuando se manejan volúmenes de datos para sustentar conclusiones generales, la cautela básica consiste en asegurarse de que se toman muestras representativas. Cuando no es el caso, pueden llegar a exhibirse en forma porcentual conclusiones que no son extrapolables al conjunto, a sabiendas que tanto la utilización de porcentajes como de decimales son técnicas muy socorridas para aportar una aureola de precisión a lo inexacto. De ahí la importancia de comprender bien la metodología y técnicas de testeo que se van a utilizar, o recurrir directamente a estándares donde todo ello viene predefinido y goza de aceptación general.

La primera norma técnica para trabajos de aseguramiento (auditoría) en el ámbito del Compliance fue el estándar emitido en 2011 por el Instituto Alemán de Auditores Públicos (IDW) AssS 980 que ya he comentado en ocasiones anteriores. Esta norma se inspira en el reputado estándar de la International Federation of Accountants (IFAC), la norma  ISAE 3000, que también se utiliza tanto en España como en el extranjero en trabajos de auditoría destinados a la emisión de una opinión profesional sobre los modelos de Compliance. Puesto que esta norma internacional posibilita desarrollar revisiones a través de una metodología homogénea, con independencia del país donde se ejecuten, constituye un recurso bastante utilizado en organizaciones plurilocalizadas que precisan uniformar criterios de validación y obtener una visión de conjunto sobre bases comparables. La utilización de estándares que gozan de reconocimiento internacional evita las inconsistencias que se pueden derivan cuando se mezclan diferentes metodologías de revisión singulares dentro de un mismo grupo.

La conveniencia de medir la eficacia de los modelos de Compliance adquiere en España un protagonismo notable a raíz de la modificación del Código Penal que entró en vigor el pasado 1 de julio, y que predispone la verificación de los modelos de prevención penal. En el Test de Compliance publicado este mes encontrarás más información sobre este requisito y algunas opciones en relación con él. Las verificaciones de la efectividad del modelo encajan bien con la política criminal pretendida en los ordenamientos que promueven estos modelos, hasta el punto que en Derecho comparado se asocian al calificativo “effective”. Así, por ejemplo, las US Sentencing Commission Guidelines se refieren a los Effective Compliance and Ethics Programs, y ese mismo calificativo se encuentra en otras normas que huyen igualmente de planteamientos meramente formales, inadecuados para cambiar la cultura de la organización.

A causa de lo anterior, medir la efectividad de los modelos de Compliance –incluido el de prevención penal- constituye una buena práctica a la que ya recurren organizaciones sensibilizadas con una gestión responsable, y que incluso muestran orgullo publicitando la opinión del auditor. Este tipo de trabajos denotan la sensibilidad del equipo directivo con las buenas prácticas de gestión, al tiempo que dejan evidencia de su diligencia debida. Puesto que el principio de seguridad absoluta se descartó hace años, ningún tipo de revisión garantizará que no se hayan producido incumplimientos o que no vayan a producirse –según rezan literalmente los marcos de referencia de Compliance más actuales-, pero otorgan un confort nada despreciable tanto a la propia organización como a sus grupos de interés.