Continuamos la serie de artículos para reflexionar sobre los hábitos que deben definir la forma de trabajar en cumplimiento normativo o “compliance” con un hábito que comience con la segunda letra del acrónimo HÁBITOS.
A de Analítica
La “A”. A de Analítica: es quizá el hábito que estimo más imprevisto y disruptivo pero que creo que mejor refleja sobre aquello que quiero reflexionar. Recordemos que dichos hábitos deseo extrapolarlos tanto al responsable principal que desarrolla la función, como a todos los trabajadores y profesionales que deben someterse al peso de las leyes y regulaciones de las organizaciones. Es decir, a todos. Recordemos que ya afirmé que cumplir al 100% es objetivo realmente imposible. Y es por ello que el hábito de la analítica nos será de gran utilidad para comprender esta reflexión.
No se asusten los juristas y abogados en general, que no pretendo derivar al lado más “tecnológico” de la analítica, aunque también lo trataré en el artículo. Sabemos que en la actualidad hablar de analítica se asocia a tecnología (Analytics), pero no enfocaré el artículo solo hacia esta deriva. Por lo menos, al principio de mi reflexión.
La RAE define “analítico o analítica” (analytikós) como primera acepción, como aquello “Perteneciente o relativo al análisis”, y como segunda “Que procede descomponiendo, o que pasa del todo a las partes”.
Por ello, y como hicimos y haremos con todos los conceptos sobre los que vayamos reflexionando, hagamos también una visita a la popular Wikipedia, donde queda definida la palabra de forma más cercana: “Perteneciente o relativo al análisis…en sus diversas acepciones”. Prosigue con lo que llama “función analítica”, definiendo que es “función matemática que puede expresarse como una serie de potencias convergente”.
El análisis, clave para compliance
Voy a incluir este concepto por tanto, aunque parezca casualidad, pues elegí este “hábito” precisamente para mostrar reflexiones en este sentido. Es posible que un alto porcentaje de lectores de este artículo sean abogados o profesionales del ámbito jurídico y pensarán que quizá lo he incluido por error. Nada más lejos de la realidad como veremos a continuación. Es más, posiblemente sea el colectivo que quizá tendrá en el presente y futuro que cultivar más el mismo.
Y es que estimo que el hábito de ser “analítico” es posiblemente uno de los que quizá puedan olvidarse con mayor facilidad o ignorarse en el contexto del compliance. Y lo estimo clave en nuestro siglo XXI donde “el análisis” de las cosas es la clave del proceso de compliance. Análisis de leyes, de normas, de regulaciones, de situaciones, de localizaciones, de actividades, de riesgos, de controles, de procesos de situaciones de incidentes… Compliance no es recitar o saber de memoria artículos de leyes, es “analizar” en toda su extensión y acepciones, el “cumplimiento de las mismas”.
Compliance “no es” ser un erudito en el conocimiento teórico. No es saberse de memoria las normas o el código penal. Compliance es cumplir con lógica. Cumplir con coherencia las reglas y las normas, y no sólo las de “tinte penal”. Es interpretarlas, “analizarlas” en su medida razonable y razonada. Pero no sólo las leyes o normas. Hay que tener una mente abierta y analítica en todos los sentidos. El compliance no es tan sólo “si” o “no”, cumplo o no cumplo. Nada más lejos. No es blanco o negro, hay grises, azules, rojos, amarillos,…
Por ello reitero la necesidad de desarrollar la actividad de compliance con perfiles multidisciplinares donde la analítica impere. Analítica jurídica y analítica de procesos y controles, analítica tecnológica y analítica económica.
Las empresas deben desarrollarse en base a las regulaciones correspondientes
Todo debe analizarse y valorarse en su justa medida. La actividad empresarial es riesgo “per sé”. No existe por tanto el riesgo cero en compliance, ni el control total de las cosas. No busquemos la perfección en este terreno: caeremos de cabeza en el stress y la desesperación. Debemos navegar y desarrollar nuestros negocios dentro de un entorno de “control razonable”, y en la gestión razonada y razonable del riesgo. Y es que el compliance no es sinónimo de perfección en el cumplimiento de las normas.
Si bien los directivos de las empresas deben ser conscientes que las reglas hay que cumplirlas (y no sólo deben ser cumplidas por el personal de “tropa”), su espíritu de compliance es mucho más sencillo que el de los “empresarios”.
Resulta curioso ver en el universo empresarial cómo muchas veces las “quejas de ser compliance” llegan de entornos que pueden resultar hasta frívolos. No debería resultar complicado que los empleados de las organizaciones, trabajadores y mandos, acataran las reglas por igual. En grandes organizaciones se percibe más el “non compliance” por pereza o desconocimiento. De ahí que la “analítica” vuelva a hacer su aparición. Los datos, como veremos al final del artículo serán los que evidencien si se “es Compliance… o no”. Y no las estructuras creadas y documentos y papeles (no sólo), para mostrar que se tiene establecida la función e impregnada la cultura.
El empresario sabe bien que debe desarrollar sus negocios de forma adecuada a un cúmulo de regulaciones que le afectan en todos los ámbitos. Y por ello es preciso analizar con realismo qué normas se deben cumplir por el desarrollo de sus actividades y qué efectos o consecuencias tienen sus incumplimientos. No con la finalidad de cumplir porque sí, sino poniendo en su justo valor los posibles incumplimientos y sus riesgos y sanciones asociadas.
Es por ello que en muchas actividades y jurisdicciones vemos que los empresarios valoran o deben valorar si “les merece la pena” el compliance completo o bien ponderar aquellas actividades en las que quizá sean “non compliance”.
Por ello, los “análisis jurídicos teóricos cocinados” no son los correctos. Imaginemos que una regulación o legislación cambia de forma abrupta. Imaginemos que esa empresa, desde una fecha tiene prohibido operar en la forma en que venía haciéndolo, en un lugar geográfico concreto. En algunos casos, por las interrelaciones que mantiene con contrapartes hace inviable un golpe de timón radical. Y el empresario deberá ir pasando a la nueva zona de compliance de forma paulatina. Tenemos claros ejemplos de los que digo en el terreno de lo mercantil, lo fiscal, lo medioambiental, lo laboral, o la protección de datos, entre otros.
Pensemos por ejemplo cómo el blanqueo de capitales ha sido un delito creado por el hombre en un mundo de progresiva digitalización. De no haberse dado esta evolución en el terreno financiero – digital, muy probablemente, este delito, no habría nacido.
En muy pocos años las industrias, financieras y resto, han debido ir adaptándose progresivamente al cumplimiento de normas que eviten el lavado de activos o blanqueo de capitales. Antes sencillamente llevar billetes de alta denominación a un banco era tan sólo “síntoma de ahorro”. Desde los años noventa, este delito ha ido mutando y desarrollándose hasta llegar a un punto en que quizá no tengan sentido en la economía real y legítima los billetes de 500 euros.
El diablo está en los detalles
Por ello aparte de la analítica expresada en los párrafos anteriores vamos a adentrarnos en el concepto más moderno y actual en su acepción anglosajona: Analytics. Analítica como “análisis del dato masivo”. Big data aplicado a la prevención o mejor dicho, a la detección.
Al igual que la gestión masiva de datos permite hoy día a las organizaciones conocer los gustos y preferencias de los consumidores de forma muy certera, ese mismo big data, ese mismo análisis de datos masivos puede definir patrones de conductas previstas… incluso las nocivas. Por ello la relevancia de combinar sabiduría jurídica con inteligencia deductiva y tecnológica. No es una opción: es mirar la realidad cara a cara.
Plantear, por tanto, programas de prevención penal sólo mediante elaboración de un catálogo de delitos y actividades asociadas de forma enunciativa, desarrollando controles en plano matricial y teórico es a todas luces insuficiente.
El diablo está en los detalles. Recordemos que si hablamos dentro del compliance, del compliance penal, la probabilidad de comisión del delito en la mayoría de las organizaciones es algo remoto, y que además puedan implicar responsabilidad de la persona jurídica, todavía más difícil…, obviamente.
Por ello, la eficacia en la lucha contra el delito financiero a menudo se ve obstaculizada por la calidad e ingente cantidad de datos disponibles y por la «asimetría regulatoria» de la integridad financiera, que crea lagunas y estándares diferentes en los distintos países y regiones a través de los límites jurisdiccionales. Estas brechas son aprovechadas por las personas que quieren perpetrar sus malas prácticas. También aparecen tensiones regulatorias y dudas o incertidumbres entre los principios que respaldan los derechos de protección de datos, transparencia y seguridad en las leyes de integridad financiera contra la privacidad de los datos, máxime en el uso de flujos de datos internacionales.
Por un lado, la legislación sobre delitos financieros en todos los países, en unos con más fuerza, en otros de forma más laxa, requiere que las organizaciones recopilen información sobre quién es y quién controla a cualquier contraparte, mediante las famosas obligaciones «KYC» (Know your Customer), o un empleado, o vendedor o partner local o cualquier contraparte, al comienzo de una relación legal y de manera continua. Siempre constan en las legislaciones obligaciones de mantenimiento de registros después de que la relación ha terminado, de forma continua y constante en el tiempo. Y ello no se resuelve con manuales ni con matrices.
Solo una adecuada gestión analítica mediante un uso consciente de los datos (big data) es posible mantener esta actividad robusta de forma coherente. Para cumplir con ello con los requisitos normativos que procedan, allá donde opere nuestra organización, debemos obtener y analizar datos completos y de calidad de nuestras contrapartes y cotejarlos de forma periódica y continua tanto contra las listas de sanciones oficiales (OSINT) provistas por las autoridades, para cada país en el que opera la organización, como vigilando cualquier transacción anómala que pueda perpetrar la presunta contraparte en el seno de nuestra organización. Hay que observar el “quién” pero sobre todo el “qué y cómo”.
La analítica engloba diversos ámbitos profesionales
Apelo por ello al hábito de la “analítica” desde un punto de vista amplio y objetivo, aplicado al jurista, al economista, al consultor, al ingeniero y al informático.
Es analítica la forma en que el abogado debe interpretar las legislaciones y normas a cumplir. No tan solo enunciarlas. Un error común que hemos detectado en estos años en que en España se ha reformado el código penal es acudir de forma directa al abogado penalista. No es una acción del todo correcta.
Como dice Fausto Ramírez, “El abogado penalista o abogado de Derecho Penal es un auxiliar de justicia. Su principal función es la de defender a las personas morales ante los tribunales por infracciones relativas al Código Penal. El abogado penalista representa el alegato, y es un verdadero virtuoso manipulador de las palabras”.
No me lo tomen a mal haber compartido esta cita. El abogado penalista defiende, no previene como se ve en esta cita que comparto plenamente. Es cierto que el aporte de un abogado penalista es fundamental en el proceso de compliance, para comprender esa última parte del proceso, pero pensar que la analítica del penalista, de forma singular, es el “Bálsamo de Fierabrás”, es un craso error. Como digo siempre en mis conferencias, “si quiero prevenir incendios, compro un extintor y un detector de humos, pero no llamo a un bombero”.
Continua el jurista Fausto Ramírez afirmando que “Dotado de grandes cualidades humanas, (al abogado penalista) le conviene estar a gusto en la expresión oral y tener un gusto pronunciado por la teatralidad. No tener miedo del contrincante y gusto por convencer a la gente son dos puntas de lanza del abogado penalista que, normalmente, debe aceptar casos sin valor añadido o mínimos. Con la multiplicación de las leyes y de las reglamentaciones debidas a la globalización, los abogados hoy en día están muy solicitados. Además, su oficio depende de conflictos, de contenciosos, de litigios, y esto es algo que forma parte de la condición humana. Sin embargo, los abogados se especializan generalmente, y algunos son muy cotizados y mejor pagados que otros. Desde hace años, los abogados que trabajan para empresas son muy solicitados, y pueden ser especialistas del derecho de la empresa o de derecho laboral, por ejemplo…”
Por ello para una adecuada prevención, además de contar con el criterio de los penalistas para conocer el peso de los posibles ilícitos, estimo más adecuado combinarlo con la pericia y oficio de mercantilistas, laboralistas, juristas expertos en medio ambiente y fiscalistas, por poner algunos ejemplos.
La analítica de estos abogados especializados nos dará una mejor y más precisa visión de la posible comisión del delito según sea el campo del que se trate, de cara a su “prevención”.
De ahí mi reflexión basada en la práctica del compliance. El hábito analítico que recomiendo a los profesionales del compliance (por tanto en materia preventiva) conviene no circunscribirlo al ámbito puro del campo penal. Se requiere conocimiento de riesgo penal, pero la analítica deberá basarse, si estamos en el terreno del compliance, en la prevención de riesgos de índole penal, no sólo en las habilidades inherentes a la “defensa penal”….ya que éste es otro ámbito que debe activarse cuando el delito “presuntamente” se ha cometido… y no antes, como bien reflexiona Ramírez.
Un nuevo campo de “analítica” que entra estos tiempos con fuerza es el mundo RegTech. La tecnología aplicada al cumplimiento regulatorio.
Y es que el RegTech, la “analítica del jurista”, es entendido como el conjunto de compañías que, apoyándose en nuevas tecnologías como el cloud, el big data o el blockchain, están creando soluciones para ayudar a las empresas de todos los sectores a cumplir con los requerimientos regulatorios. En el sector financiero, se consideran un spin off de las llamadas fintech. Teóricamente se conciben para adaptarse dinámicamente a nuevos requerimientos de forma prácticamente inmediata. Ofrecen como principal beneficio, inicialmente para los bancos, una potencial reducción significativa de costes y esfuerzos. Desde el punto de vista del regulador, las soluciones ‘Regtech’ ofrecen beneficios claros en tanto en cuanto les permitirían disponer de información muy granular y precisa, idealmente casi en tiempo real, lo que facilitaría el control del riesgo sistémico. Muy probable que al final todos los bancos y todo tipo de empresas que se muevan en entornos regulatorios en permanente cambio las utilicen.
Las principales ventajas que van trayendo las “RegTech” podemos resumirlas en una mayor interacción con los Reguladores, mejor gestión de la identidad de los clientes, mejor control del fraude, fundamentalmente en lo que se refiere a medios de pago, mayor seguridad en la operativa del cliente final, mayor control del trabajo interno y reduciendo potenciales errores que lleven a un incumplimiento normativo que pueda dañar la protección del cliente.
La tecnología, esencial para combatir actos ilegales
Saltando de nuevo al otro campo preciso, el tecnológico, para desarrollo de un compliance integral, el Big data, y su analítica (el denominado “Data Analytics”) resulta por tanto esencial para combatir el crimen, el fraude, corrupción, terrorismo, y cualquier manifestación de actos ilegales en los negocios, y su prevención no se puede procesar y monitorizar adecuadamente sin acompañarlo con la tecnología. Las herramientas de análisis de datos aumentan en las organizaciones la capacidad de analizar y procesar datos. Las herramientas tecnológicas son tan buenas como los datos subyacentes que analizan, por lo que los datos precisos y de calidad son esenciales, así como calibrar adecuadamente las alertas con las que pretendemos detectar “lo anómalo”. La minería del dato es un componente crítico de un programa eficaz contra la corrupción en los negocios, contra las prácticas que son “non compliance”, y consiste en extraer y analizar datos que están estructurados o no estructurados, y que residen tanto internamente en las organizaciones como externamente.
Todo lo anómalo debe poder detectarse y analizarse, y para ello, en la actualidad, un buen modelo analítico bien parametrizado, “tumba” a los modelos teóricos estadísticos en el primer round.
Planifica, ejecuta, revisa y actúa
También “aprendizaje“ se escribe con A. Es otro hábito que recomiendo al compliance. Aprender de errores y del pasado. Aprender de lo que se debe y no se debe hacer. Hasta en el famoso “ciclo de Deming” que rige las actividades del compliance vivo, se completa el mismo el Ciclo. La letra “A” del ciclo significa “ACT”, pero de “Actuar” derivado de aprender y de poner en acción las medidas precisas después de los otros tres factores que definen el ciclo PDCA: Plan (planifica), Do (ejecuta, haz), Check (revisa) y A de “actúa”. Actúa para mejorar. Actúa para reaccionar… Sólo se mejora revisando los errores y corrigiéndolos. “Esperar distintos resultados haciendo siempre lo mismo“ – decía Einstein – “es el principio de la locura”.
Por ello estimo tan importante actuar. Actuar y no sólo saber las leyes y normas, y lo prohibido y lo tolerado. De hecho el negocio es siempre gestión de riesgos, y el empresario lo sabe. Por ello el compliance no debe ser sólo un “avisador” y un “stopper”. Si actúa de esta forma, se devalúa. No es solo cuestión de tener abogados que te avisan de lo que no debes hacer. Debes valorar tus actos empresariales sabiendo los riesgos que asumes y ponderando tus acciones: ponderando con Analítica y con Aprendizaje.
Conclusión
En resumen, el hábito de la “Analítica”, para la práctica del compliance, lo recomiendo tanto a los juristas, para analizar adecuadamente las posibles situaciones a que se pueden enfrentar las organizaciones para un cumplimiento adecuado de las leyes, como a los economistas, ingenieros o profesionales que estudian los riesgos de índole regulatorio a que se enfrentan las organizaciones, donde la analítica debe residir en sus cabezas por el mero hecho de operar con miles de datos que “representan” bienes y servicios en los lugares donde desarrollan sus negocios y se rigen por sus leyes y normas, así como en los profesionales de la tecnología que pueden aportar su oficio en el desarrollo de soluciones que permitan el manejo masivo de miles y millones de datos en tiempo record o tiempo real, cuando proceda, diseñando alertas que permitan a los profesionales “ser compliance”, operar conforme a la norma, y detectar cualquier anomalía para poder ser analizada y reportada a la alta dirección para la toma de decisiones, a las autoridades competentes, o archivada o desechada por tratarse de falsos positivos.
Espero pues que sigáis disfrutando de la lectura de este y venideros artículos. Nos vemos de nuevo en el análisis del siguiente hábito: La “B” de Benevolencia
Luis Rodriguez Soler © Mayo 2018