¿I JO, PER QUÈ NECESSITO UN SISTEMA DE COMPLIANCE?
En plena Segona Guerra Mundial, un estudi dut a terme per les forces aèries nord-americanes generaria per a la posteritat un exemple paradigmàtic de biaix de supervivència i de les seves conseqüències en la valoració de la realitat i la predicció de resultats.
Davant l’alt nombre de baixes que patien els bombarders del bàndol nord-americà, un equip format per enginyers i altres grans ments de la nació es va embarcar en el repte de millorar la resistència d’aquests aparells.
Reforçar l’estructura completa dels avions no era una opció, ja que això augmentaria significativament el seu pes i afectaria les seves principals prestacions.
Davant aquesta problemàtica, l’equip a càrrec de gestionar la crisi va registrar l’estat dels avions després del seu retorn a les bases. A partir de la valoració dels punts d’abast van aconseguir mapejar les zones més danyades i van concloure que aquestes (en concret, ales, tronc i cua de l’avió) eren les més exposades i, per tant, les que requerien un major reforç en la seva protecció.
Després implementar aquesta mesura de reducció del risc, van poder monitoritzar els resultats. Això no obstant, en nombres relatius, no van obtenir l’èxit a priori esperable: la mitjana d’avions que tornaven abans i després del canvi es va mantenir.
Tanmateix, dels errors se n’aprèn. Un dels membres del grup de treball, l’estadista Abraham Wald, aviat va trobar la solució a l’enigma plantejat, ja que es va ser víctima, al costat dels seus companys, de la limitació que el seu judici havia sofert a causa del biaix de supervivència.
El biaix de supervivència és aquella fal·làcia lògica que, per obtenir una conclusió, es concentra en les persones o coses que van superar un procés de selecció, mentre que passa per alt aquelles que no ho van fer.
En l’anècdota relatada, l’equip d’enginyers havia tingut en compte per a la seva anàlisi tan sols aquells avions que retornaven, és a dir, aquells aparells que, malgrat tot, no havien patit danys prou crítics com per a derrocar-los. Per tant, tot i haver detectat les zones més exposades i, per tant, aquelles on la probabilitat de patir danys era més alta, van obviar el seu baix impacte.
Tan sols n’hi havia prou amb contemplar el negatiu de la fotografia: en el morro, motors i cabina s’observaven molts menys impactes, a causa del fet que havien quedat fora del registre, ja que molts dels avions aconseguits en aquelles zones no van tornar. Les zones menys exposades, la probabilitat de materialització del risc era més baixa, eren justament aquelles susceptibles de patir danys amb un alt impacte.
Tan aviat com es van reforçar les zones menys exposades dels aparells voladors (i alhora, les més perilloses), el nombre d’avions que retornaven va augmentar exponencialment, moltes vegades en estats límit, i tot i així, amb un pilot supervivent. Els beneficis no es concretaven únicament en reduir el nombre de baixes (una fita, de per si), sinó que ara era possible obtenir informació de primera mà que permetés millorar no només la resistència de l’aparell, sinó aquells problemes que el mateix pilot hagués pogut detectar.
Un fenomen semblant es va produir en la Primera Guerra Mundial, quan l’exèrcit francès va modificar l’uniforme dels seus soldats per substituir la gorra per un casc: en poques hores, les infermeries de l’exèrcit van començar a omplir-se amb soldats supervivents que havien patit danys al cap.
La història sempre ens brinda l’oportunitat d’utilitzar els seus ensenyaments en el nostre present. Les anteriors anècdotes bèl·liques són fàcilment extrapolables a la gestió dels riscos en general, i, en particular, els de les organitzacions.
És raonable que l’òrgan de govern d’una organització consideri que la seva organització gaudeix d’un sistema de control i gestió de riscos suficient pel simple fet que mai ha passat res significativament greu, i els problemes que s’han materialitzat fins al moment han tingut sempre solució. Al cap i a la fi, el contrari implicaria desconfiar d’allò del que un n’és el responsable.
També és possible que, en un grau menor de confiança, consideri que ja s’han establert mètodes prou segurs en aquelles zones més exposades de la seva organització, i que una intervenció en la resta de l’organització únicament pertorbaria innecessàriament el ritme normal de treball.
Si bé són legítimes aquestes visions, les organitzacions no deixen de ser grans aparells de producció de béns i serveis, que exerceixen un impacte continu en el seu entorn i s’exposen de forma constant a el risc. Una consideració massa optimista de la situació real, combinada amb una política de mínima intervenció i control de l’activitat poden conformar una sensació subjectiva de seguretat, esbiaixada pel bon resultat “fins al moment”, meridianament allunyada de la realitat. El risc es troba especialment on un menys ho espera.
A més, a més, aquesta autocomplaença i conformisme amb l’estat actual de les coses en moltes ocasions pot amagar tres fenòmens molt pitjors: l’habituació al risc, la companyonia mal entesa i la sensació d’anonimat dins de l’estructura de l’organització. Fenòmens que conduiran fins i tot a l’acceptació de la materialització del risc perquè “sempre s’ha fet així”, perquè “jo no vull ser el xivato” o perquè “ningú sabrà que he estat jo”.
Tot i la relativament recent modificació del Codi Penal per introduir la responsabilitat penal de la persona jurídica, fet que a Espanya ha posat en boca de molts el terme Compliance, en altres Estats ja fa diversos anys que les organitzacions hi dediquen molts recursos a la seva autogestió segura i ètica, i es responsabilitzen dels seus actes negligents i deslleials davant les administracions públiques, de Justícia, així com davant els seus clients i col·laboradors. Amb el pas el temps, la premsa ha anat recollint successos de tota mena en els quals moltes organitzacions han quedat compromeses a causa de l’eventual materialització d’un risc, fos de manera deliberada o no.
A la Wall Street Journal CEO Council de 2018, el CEO de la companyia de ciberseguretat Dark Trace, Nicole Eagan, va aprofitar la seva intervenció per compartir una anècdota professional referent a un robatori d’informació perpetrat per un grup de hackers informàtics que havia estat capaç de trobar el taló d’Aquil·les del sistema informàtic d’un Casino.
Les seves investigacions en aquella ocasió els van portar a determinar que els lladres havien accedit a sistema utilitzant com a porta d’entrada un mètode insòlit: l’aquari del vestíbul.
Si bé no era més que un element decoratiu, aparentment inofensiu, comptava amb un termòmetre intel·ligent que monitoritzava de forma constant la temperatura de l’aigua i permetia el seu control a distància mitjançant la seva connexió a la xarxa d’Internet del casino. Es tractava d’un dispositiu d’aquells que engloba el concepte “Internet de les coses” (‘Internet of Things’, o ‘IOT’), en el qual s’inclouen també altres aparells com televisors, rellotges, càmeres de seguretat o fins i tot neveres, i que, per regla general, no compten amb cap mena de protecció davant de possibles atacs informàtics.
El grup de hackers va aconseguir introduir-se en la xarxa de casino utilitzant com a porta d’entrada el termòmetre, i un cop a dins, res els hi va impedir accedir als arxius on es custodiaven les dades dels grans apostadors.
Com podrà veure el lector, era igual la quantitat o intensitat dels protocols de seguretat que els responsables del casino haguessin implementat en aquelles àrees (segons la seva opinió) més exposades o perilloses. L’error no havia estat utilitzar un termòmetre intel·ligent. El Casino utilitzava una sola xarxa informàtica i una mateixa connexió a Internet per controlar el termòmetre i el mateix temps custodiar les dades per identificar la seva clientela; tampoc protegia l’accés amb una clau o, en cas d’utilitzar-la, aquesta no era prou segura; finalment, no hi havia restringit els permisos d’accés a les dades més sensibles a unes persones determinades, ni tampoc comptava amb personal informàtic a càrrec de la vigilància i, en cas de detecció, defensa davant un hipotètic atac a la xarxa. No es tractava d’un error, alguna cosa equiparable a la mala sort: es tractava d’una cadena d’errors fatals que es podien haver evitat amb un control correcte.
És un exemple clar de les greus conseqüències que l’excés de confiança combinat amb la manca d’una anàlisi de riscos exhaustiva i la manca de voluntat de posar remei als mateixos poden comportar.
Com a exemple del contrari podem remetre’ns a la recent bretxa de seguretat que va patir la companyia nacional Telefònica, i que va deixar al descobert les dades personals de facturació dels seus clients així com els seus registres de trucades. Tan aviat com va ser detectada aquesta bretxa l’organització li va posar remei, va informar i es va posar a disposició de les instàncies competents i va investigar el possible accés fraudulent per tercers, concloent que no s’havia produït. Una gestió eficient de la crisi va portar a solucionar el conflicte en tot just 24 hores. Cap sistema és completament infal·lible; però, una adequada preparació per al pitjor pot solucionar la materialització d’un risc amb conseqüències mínimes, o fins i tot sense. En el pitjor dels casos, permetrà justificar a l’organització que ha fet tot el que estava al seu abast per evitar-ho.
A l’altre costat de la baralla es troben aquelles organitzacions que no només no compten amb un sistema de control que impedeixi la materialització d’un risc, sinó que decideixen aprofitar els comportaments deslleials per obtenir un avantatge competitiu davant la resta.
El passat mes d’abril va saltar a la premsa el cas d’una empresa situada a Valladolid que es dedicava a la producció de llavor de cereal de blat certificada. D’acord amb la sentència que va acabar condemnant tant a l’administrador com a la mateixa entitat jurídica, havien produït blat de dues varietats protegides per a la seva posterior comercialització entre els agricultors com si es tractés de llavor certificada, falsificant per a això les etiquetes dels envasos.
A principis d’estiu la Guàrdia Civil va destapar una trama d’estafa orquestrada per una empresa granadina que va vendre centenars de tones de cogombre convencional amb l’etiqueta de producte ecològic o “bio” i a el doble del seu preu, augmentant el seu marge de beneficis de forma fraudulenta .
Finalment, aquest mateix mes de novembre una altra organització domiciliada al País Basc ha estat condemnada pel Tribunal Suprem per haver creat un lloc web amb el nom d’una empresa competidora i redirigir a una pàgina pornogràfica per minar la seva reputació.
Són molts els exemples, i tots condueixen a la mateixa conclusió: no n’hi ha prou només amb aguditzar els sentits i realitzar una deguda anàlisi dels riscos organitzacionals; tot examen, per detallat que sigui, serà inútil sense una ferma voluntat de l’organització d’actuar en el mercat de forma ètica i lleial.
L’expert en Compliance ha de desenvolupar una detallada tasca d’immersió en l’organització, sempre de la mà del seu òrgan de govern i amb l’ajuda de tots els membres d’aquesta, de manera que pugui identificar, dimensionar i buscar solucions proporcionals i eficients pels riscos reals als quals la mateixa es troba exposada. En moltes ocasions, el risc més probable pot ser el menys rellevant pel seu potencial impacte, i viceversa. Això no vol dir que hagi de ser ignorat. Significa que ha de rebre la deguda atenció en el conjunt de riscos detectats.
La falsa creença de seguretat perquè fins ara tot ha anat bé pot conduir a una fallada estratègica catastròfica, que en cas de materialització d’un risc, deixi a l’organització absolutament exposada a conseqüències administratives, penals i de reputació.
Això no obstant, el Sistema de Compliance està viu, i es manifesta a través de tots i cada un dels membres de l’organització, sent l’òrgan de govern el primer en la llista. Sense la seva col·laboració, el Sistema no és més que paper mullat.
La implementació d’un Sistema de Compliance exhaustiu i fet a mida de l’organització pot ser la barrera tallafocs que 1) identifiqui el risc i el valori a partir d’un mètode tècnic contrastable, 2) eviti la seva materialització mitjançant la implantació de mesures i controls eficients i proporcionals a la capacitat de l’organització, i 3) en cas de no haver pogut evitar-la, justifiqui que l’organització ha fet tot el que raonablement estava a la seva mà per impedir-ho, reduint els potencials danys per sancions administratives o judicials, així com salvaguardant la seva reputació.
Paral·lelament, si hi ha una implicació real, un Sistema de Compliance és la millor prova de la participació de l’organització en el mercat sota uns principis ètics ferms i indestructibles, que nodreixen totes i cadascuna de les seves activitats i la dels seus membres, alineant en el si d’una cultura ètica contrària a les actituds deslleials.
Advocat
