Fraude y compliance

Adoptar decisiones sin disponer de información o con información deficiente es, per se, una conducta de riesgo. Por este motivo, manejar a tiempo información de calidad es un factor clave en todo modelo de Compliance robusto.
Las metodologías más difundidas sobre evaluación de riesgos requieren identificarlos, analizarlos y finalmente valorarlos, determinando así tanto su probabilidad de ocurrencia como las consecuencias que se producirían en tal caso. Sobre esta estimación se puede fundamentar una prioriorización de riesgos, que es un ejercicio necesario para establecer una correcta asignación de recursos en su prevención, detección y gestión.

Dentro de los factores que determinan la probabilidad de materialización de riesgos figura su historial: cuando están asociados a circunstancias que han ocurrido y no se ha actuado de manera efectiva sobre ellas, persistirá la probabilidad de que se reproduzcan. Sin embargo, esta información histórica suele ser muy escasa en materia de Compliance penal, no sólo por la novedad del régimen de responsabilidad penal de las personas jurídicas en muchos países (como sucede en España), sino también por la infrecuencia de los incumplimientos que adquieren dimensión penal. A diferencia de lo que sucede al evaluar otros riesgos de Compliance, como los de incumplimientos administrativos o civiles, aquellos casos que terminan ante la jurisdicción penal, aunque aumentan cada año, son todavía excepcionales. Eso sí, sus consecuencias suelen ser catastróficas.

Puesto que al evaluar riesgos penales se afronta esta escasez de antecedentes, suele recurrirse a información histórica análoga, considerando los casi-incumplimientos y los incidentes de naturaleza civil o administrativa de gravedad. En este contexto de analogía, es importante considerar los episodios de fraude interno sufridos en la organización. La principal diferencia al analizar el fraude en las organizaciones y sus incumplimientos es que del primero son víctimas mientras que de los segundos son autoras. Sin embargo, ambos conceptos comparten elementos comunes que deben conocerse.
Las experiencias pasadas de fraude interno brindan una idea aproximada del entorno de control: aquellas organizaciones que no son capaces de prevenir, detectar y gestionar las situaciones de fraude, posiblemente tampoco lo son respecto de los riesgos penales. Sufrir fraudes internos de calado pero asegurar que el control penal es robusto es una incoherencia, dado que ambas esferas enlazan con un mismo sustrato: la cultura de la organización y sus controles. Esta obviedad me conduce a explicar la aplicabilidad del llamado “Triángulo del fraude” en el ámbito del Compliance.

Los factores que llevan al personal de una organización a cometer un fraude en perjuicio de la misma se pueden resumir en tres elementos que ocuparían los vértices de un triángulo imaginario: la motivación, la oportunidad y la racionalización. La motivación es la razón última que impulsa al sujeto a cometer un fraude, como cubrir sus deudas, sus dependencias (a sustancias, ludopatía) y otros condicionantes que le incitan a actuar en beneficio propio y en perjuicio de la organización. La oportunidad la brindan aquellas circunstancias que posibilitan desarrollar su conducta, como ostentar un cargo que permita operar impunemente, la ausencia de directrices y controles, etc. La racionalización es el proceso subjetivo que desarrolla el sujeto para justificar su conducta ante sí mismo o incluso frente a terceros: no me pagan lo suficiente, la empresa no lo necesita, etc.

Estos mismos elementos están presentes en bastantes incidentes de Compliance, aunque con matices diferenciales. Así, por ejemplo, a la motivación individual se añade la corporativa, pudiendo darse aisladamente o de forma conjunta. El obtener un bonus, por ejemplo, puede ser un elemento que incentive a pagar un soborno a un tercero para ganar un proyecto, pero la conducta desviada (sobornar) puede igualmente producirse sin necesidad de tal bonus, bajo la creencia de estar actuando de manera correcta para los intereses de la empresa. Los factores de oportunidad van muy ligados al entorno de control, y por eso en Compliance penal se exigen unos niveles de diligencia especiales frente a las llamadas “personas especialmene expuestas”, que son aquellas con intervención relevante en actividades con riesgo penal superior a bajo. Cuando este grupo queda huérfano de supervisión, aumenta la oportunidad de que desarrolle conductas desviadas, que cristalizarán tan pronto concurra una motivación y el eventual proceso de racionalización. Los argumentos clásicos con que se racionalizan las conductas desviadas en Compliance son bien conocidos: nadie cumple con las normas, se exigen unos objetivos comerciales sólo alcanzables mediante ciertas prácticas, etc. Normalmente, ese proceso de racionalización atraviesa por interpretar que la organización observa una conducta hipócrita, exteriorizando unos valores pero exigiendo de facto conductas que los contravienen. Por este motivo, la claridad de los mensajes de Compliance y la coherencia en el modo de aplicarlos dota de legimitidad a la función y obstruye los procesos de racionalización.

La información sobre el fraude interno es trascendente desde la perspectiva de Compliance y, por eso, nunca está de sobras entrevistarse con los responsables de la organización dedicados a su prevención, detección y gestión. Con gran probabilidad, este diálogo nos ilustrará sobre la complejidad de la psique humana, viendo que las construcciones intelectuales que justifican el fraude interno son extrapolables en gran medida al Compliance. Dentro de la Serie de documentos sobre eCompliance avanzado, este mes publico el relacionado con la psicología social y cognitiva en Compliance, abordando una serie interesante de sesgos que pueden condicionar conductas desviadas, de aparición recurrente en los incidentes del Compliance.