¿Y YO POR QUÉ IBA A NECESITAR UN SISTEMA DE COMPLIANCE?
En plena Segunda Guerra Mundial, un estudio llevado a cabo por las fuerzas aéreas estadounidenses generaría para la posteridad un ejemplo paradigmático del sesgo de supervivencia y de sus consecuencias en la valoración de la realidad y la predicción de resultados.
Ante el alto número de bajas que sufrían los bombarderos del bando norteamericano, un equipo formado por ingenieros y otras grandes mentes de la nación se embarcó en el reto de mejorar la resistencia de dichos aparatos.
Reforzar la estructura completa de los aviones no era una opción, pues ello aumentaría significativamente su peso y afectaría a sus principales prestaciones.
Ante tal problemática, el equipo al cargo de gestionar dicha crisis registró el estado de los aviones tras su regreso a las bases. A partir de la valoración de los puntos de alcance consiguieron mapear las zonas más dañadas y concluyeron que éstas (en concreto, alas, tronco y cola del avión) eran las más expuestas y por ende las que requerían un mayor refuerzo en su protección.
Tras implementar esta medida de reducción del riesgo, pudieron monitorizar los resultados. Sin embargo, en números relativos, no obtuvieron el éxito a priori esperable: La media de aviones que regresaban antes y después del cambio se mantuvo.
No obstante, de los errores se aprende. Uno de los miembros del grupo de trabajo, el estadista Abraham Wald, pronto dio con la solución al enigma planteado, pues se supo víctima, junto a sus compañeros, de la limitación que su juicio había sufrido a causa del sesgo de supervivencia.
El sesgo de supervivencia es aquella falacia lógica que, para obtener una conclusión, se concentra en las personas o cosas que superaron un proceso de selección, mientras que pasa por alto aquellas que no lo hicieron.
En la anécdota relatada, el equipo de ingenieros había tenido en cuenta para su análisis tan solo aquellos aviones que retornaban, es decir, aquellos aparatos que, a pesar de todo, no habían sufrido daños lo suficientemente críticos como para derribarlos. Por tanto, aun habiendo detectado las zonas más expuestas y, por ende, aquellas cuya probabilidad de sufrir daños era más alta, obviaron su bajo impacto.
Tan solo bastaba con contemplar el negativo de la fotografía: en el morro, motores y cabina se observaban muchos menos impactos, debido a que habían quedado fuera del registro ya que muchos de los aviones alcanzados en aquellas zonas no regresaron. Las zonas menos expuestas, cuya probabilidad de materialización del riesgo era más baja, eran justamente aquellas susceptibles de sufrir daños con un alto impacto.
Tan pronto como se reforzaron las zonas menos expuestas de los aparatos voladores (y a la vez, las más peligrosas), el número de aviones que retornaban aumentó exponencialmente, muchas veces en estados límite, y aun así, con un piloto superviviente. Los beneficios no se concretaban únicamente en reducir el número de bajas (un hito, de por sí), sino que ahora era posible obtener información de primera mano que permitiese mejorar no solo la resistencia del aparato, sino aquellos problemas que el propio piloto hubiese podido detectar.
Un fenómeno parecido se produjo en la Primera Guerra Mundial, cuando el ejército francés modificó el uniforme de sus soldados para sustituir la gorra por un casco: En pocas horas, las enfermerías del ejército empezaron a llenarse con soldados supervivientes que habían sufrido daños en la cabeza.
La historia siempre nos brinda la oportunidad de utilizar sus enseñanzas en nuestro presente. Las anteriores anécdotas bélicas son fácilmente extrapolables a la gestión de los riesgos en general, y, en particular, los de las organizaciones.
Es razonable que el órgano de gobierno de una organización considere que su organización goza de un sistema de control y gestión de riesgos suficiente por el simple hecho de que nunca ha ocurrido nada significativamente grave, y los problemas que se han materializado hasta el momento han tenido siempre solución. Al fin y al cabo, lo contrario implicaría desconfiar de aquello de lo que uno es el responsable.
También es posible que, en un grado menor de confianza, considere que ya se han establecido métodos suficientemente seguros en aquellas zonas más expuestas de su organización, y que una intervención en el resto de la organización únicamente perturbaría innecesariamente el ritmo normal de trabajo.
Si bien son legítimas estas visiones, las organizaciones no dejan de ser grandes aparatos de producción de bienes y servicios, que ejercen un impacto continuo en su entorno y se exponen de forma constante al riesgo. Una consideración demasiado optimista de la situación real, combinada con una política de mínima intervención y control de la actividad pueden conformar una sensación subjetiva de seguridad, sesgada por el buen resultado “hasta el momento”, meridianamente alejada de la realidad. El riesgo se encuentra especialmente donde uno menos lo espera.
A mayor abundamiento, esa autocomplacencia y conformismo con el estado actual de las cosas en muchas ocasiones puede esconder tres fenómenos mucho peores: la habituación al riesgo, el compañerismo mal entendido y la sensación de anonimato dentro de la estructura de la organización. Fenómenos que conducirán incluso a la aceptación de la materialización del riesgo porque “siempre se ha hecho así”, porque “yo no quiero ser el chivato” o porque “nadie sabrá que he sido yo”.
A pesar de la relativamente reciente modificación del Código Penal para introducir la responsabilidad penal de la persona jurídica, hecho que en España ha puesto en boca de muchos el término Compliance, en algunos Estados hace varios años que las organizaciones dedican muchos recursos a su autogestión segura y ética, y se responsabilizan de sus actos negligentes y desleales ante las administraciones públicas, de Justicia, así como ante sus clientes y colaboradores. Con el paso del tiempo, la prensa ha ido recogiendo sucesos de todo tipo en los que muchas organizaciones han quedado comprometidas a causa de la eventual materialización de un riesgo, ya fuera de forma deliberada o no.
En la Wall Street Journal CEO Council de 2018, el CEO de la compañía de ciberseguridad Dark Trace, Nicole Eagan, aprovechó su intervención para compartir una anécdota profesional referente a un robo de información perpetrado por un grupo de hackers informáticos que había sido capaz de hallar el talón de Aquiles del sistema informático de un Casino.
Sus averiguaciones en aquella ocasión los llevaron a determinar que los ladrones habían accedido al sistema utilizando como puerta de entrada un método insólito: el acuario del vestíbulo.
Si bien no era más que un elemento decorativo, aparentemente inofensivo, contaba con un termómetro inteligente que monitorizaba de forma constante la temperatura del agua y permitía su control a distancia mediante su conexión a la red de Internet del casino. Se trataba de un dispositivo de aquellos que engloba el concepto “Internet de las cosas” (‘Internet of Things’, o ‘IoT’), en el que se incluyen también otros aparatos como televisores, relojes, cámaras de seguridad o incluso neveras, y que, por regla general, no cuentan con ningún tipo de protección ante posibles ataques informáticos.
El grupo de hackers logró introducirse en la red del casino utilizando como puerta de entrada el termómetro, y una vez dentro, nada le impidió acceder a los archivos donde se custodiaban los datos de los grandes apostadores.
Como podrá ver el lector, tanto más daba la cantidad o intensidad de los protocolos de seguridad que los responsables del casino hubiesen implementado en aquellas áreas (a su juicio) más expuestas o peligrosas. El error no había sido utilizar un termómetro inteligente. El Casino utilizaba una sola red informática y una misma conexión a Internet para controlar el termómetro y al mismo tiempo custodiar los datos identificativos de su clientela; tampoco protegía el acceso con una clave o, en caso de utilizarla, ésta no era lo suficientemente segura; finalmente, no había restringido los permisos de acceso a los datos más sensibles a unas personas determinadas, ni tampoco contaba con personal informático a cargo de la vigilancia y, en caso de detección, defensa ante un hipotético ataque en la red. No se trataba de un error, algo equiparable a la mala suerte: Se trataba de una cadena de errores fatales que se podían haber evitado con el debido control.
Es un ejemplo claro de las graves consecuencias que el exceso de confianza combinado con la falta de un análisis de riesgos exhaustivo y la falta de voluntad de poner remedio a los mismos pueden conllevar.
Como ejemplo de lo contrario podemos remitirnos a la reciente brecha de seguridad que sufrió la compañía nacional Telefónica, y que dejó al descubierto los datos personales de facturación de sus clientes así como sus registros de llamadas. Tan pronto como fue detectada dicha brecha la organización puso remedio a la misma, informó y se puso a disposición de las instancias competentes e investigó el posible acceso fraudulento por terceros, concluyendo que no se había producido. Una gestión eficiente de la crisis llevó a solucionar el conflicto en apenas 24 horas. Ningún sistema es completamente infalible; sin embargo, una adecuada preparación para lo peor puede solventar la materialización de un riesgo con consecuencias mínimas, o incluso sin ellas. En el peor de los casos, permitirá justificar a la organización que ha hecho todo lo que estaba en su mano para evitarlo.
En el otro lado de la baraja se encuentran aquellas organizaciones que no solo no cuentan con un sistema de control que impida la materialización de un riesgo, sino que deciden aprovechar los comportamientos desleales para obtener una ventaja competitiva frente al resto.
El pasado mes de abril saltó a la prensa el caso de una empresa situada en Valladolid que se dedicaba a la producción de semilla de cereal de trigo certificada. De acuerdo con la sentencia que acabó condenando tanto a su administrador como a la propia entidad jurídica, habían producido trigo de dos variedades protegidas para su posterior comercialización entre los agricultores como si se tratase de semilla certificada, falsificando para ello las etiquetas de los envases.
A principios de verano la Guardia Civil destapó una trama de estafa orquestada por una empresa granadina que vendió cientos de toneladas de pepino convencional con la etiqueta de producto ecológico o “bio” y al doble de su precio, aumentando su margen de beneficios de forma fraudulenta.
Finalmente, este mismo mes de noviembre otra organización domiciliada en el País Vasco ha sido condenada por el Tribunal Supremo por haber creado un sitio web con el nombre de una empresa competidora y redirigirla a una página pornográfica para minar su reputación.
Son muchos los ejemplos, y todos conducen a la misma conclusión: No basta solo con agudizar los sentidos y realizar un debido análisis de los riesgos organizacionales; todo examen, por pormenorizado que sea, será inútil sin una firme voluntad de la organización de actuar en el mercado de forma ética y leal.
El experto en Compliance debe desarrollar una pormenorizada tarea de inmersión en la organización, siempre de la mano de su órgano de gobierno y con la ayuda de todos los miembros de la misma, de modo que pueda identificar, dimensionar y buscar soluciones proporcionales y eficientes para los riesgos reales a los que la misma se halla expuesta. En muchas ocasiones, el riesgo más probable podrá ser el menos relevante por su potencial impacto, y viceversa. Ello no quiere decir que deba ser ignorado. Significa que debe recibir la debida atención en el conjunto de riesgos detectados.
La falsa creencia de seguridad porque hasta ahora todo ha ido bien puede conducir a un fallo estratégico catastrófico, que en caso de materialización de un riesgo, deje a la organización absolutamente expuesta a consecuencias administrativas, penales y reputacionales.
Sin embargo, el Sistema de Compliance está vivo, y se manifiesta a través de todos y cada uno de los miembros de la organización, siendo el órgano de gobierno el primero en la lista. Sin su colaboración, el Sistema no es más que papel mojado.
La implementación de un Sistema de Compliance exhaustivo y hecho a medida de la organización puede ser la barrera cortafuegos que 1) identifique el riesgo y lo valore a partir de un método técnico contrastable, 2) evite su materialización mediante la implantación de medidas y controles eficientes y proporcionales a la capacidad de la organización, y 3) en caso de no haber podido evitarla, justifique que la organización ha hecho todo lo que razonablemente estaba en su mano para impedirlo, reduciendo los potenciales daños por sanciones administrativas o judiciales, así como salvaguardando su reputación.
Paralelamente, si existe una implicación real, un Sistema de Compliance es la mejor prueba de la participación de la organización en el mercado bajo unos principios éticos firmes e inquebrantables, que nutren todas y cada una de sus actividades y la de sus miembros, alineándolos en el seno de una cultura ética contraria a las actitudes desleales.
Abogado
