Compliance y el Riesgo Humano

 

Para encontrar buenas soluciones a problemas, hay que definirlos bien. Toda la literatura sobre el proceso de toma de decisiones lo repite permanentemente: La definición del problema condiciona su solución.

Compliance se suele definir como “Cumplimiento con Normas y Regulaciones externas e internas”. Definido como cumplimento con normas, la búsqueda de soluciones se concentra en temas inherentemente legales: normas, políticas y el control de su cumplimiento.

Si el problema se define en forma más amplia, aparecen más alternativas de solución y, además, un abanico de disciplinas de pensamiento más amplio. Hay que dar mentalmente un paso atrás para ver mejor la complejidad del problema a resolver.

Ayudan a verlo en forma más amplia, por ejemplo, las ciencias conductuales. Uno de sus representantes más distinguidos, el Prof. Hersh Shefrin, lo dijo así: En todos los desastres de gestión de riesgo (y todo escándalo de compliance es un desastre de gestión de riesgo) el responsable no fue una falla técnica del sistema, sino un problema psicológico.

Nuestros programas de compliance son cada vez más sofisticados y funcionan muy bien como sistema. Pero su resultado, su output depende del input. Y el input somos nosotros. Y nosotros no somos perfectos. Somos humanos.

Visto así, constituimos un riesgo para el buen funcionamiento del sistema de compliance. Hay que trabajar menos intentando sofisticar aún más el sistema y trabajar más sobre el input imperfecto, nosotros. Es decir, el Riesgo Humano.

Dicho lo mismo en forma más concreta, el problema que se quiere resolver con los sistemas de compliance es la pregunta: ¿Cómo hago para que mi gente tome buenas decisiones en situaciones difíciles?

Definiendo el problema así se llega a otras alternativas de solución más allá de normas, auditorías y sanciones.

Compliance se aleja de ser un tema legal. Es un tema de gestión, de management. Las palabras claves son otras: Cultura organizacional, liderazgo, confianza, principios y aspectos psicológicos.

En la literatura, especialmente la académica, esto no es novedad. Hace años se escribe sobre la importancia de la cultura y de los aspectos psicológicos que dieron origen al Behavioral Compliance, Behavioral Ethics y Behavioral Risk.

La importancia de la cultura y los principios que guían a los empleados se expresan en la búsqueda de un adecuado Tone (y Conducta) at the Top, que no es lo mismo que lo escrito en el código de conducta.

Incluso los reguladores en sus guías para programas de compliance efectivos remarcan la importancia de estos elementos poniendo el Riesgo Humano en el centro de la temática.

En la práctica en las empresas, sin embargo, esta mirada es menos frecuente. Se habla, se declama la importancia de los valores, de los principios y del tone at the top. Pero cuando se pregunta por su mayor obstáculo interno, los compliance officers siguen quejándose justamente de la falta del adecuado tone at the top y la inconsistencia de lo declamado en el código de conducta y lo observado en las decisiones de todos los días.

Las bases más importantes de muchos Programas de Compliance siguen siendo normas, monitoreos, controles y sanciones acompañados por entrenamiento en normas y políticas muchas veces escritos por abogados para abogados que conocen y entienden solo pocos.

Si el riesgo no es el sistema de compliance sino su input, el ser humano, ¿qué se puede hacer para su mitigación?

Se puede aprender del risk management: trabajar no sobre el riesgo sino sus determinantes, es decir, las posibles causas para la materialización del riesgo. En este sentido, el monitoreo clásico de los empleados llega tarde, ve solo el acto inadecuado cuando ya ocurrió.

Hay otros caminos interesantes para identificar y mitigar los determinantes para el riesgo humano. Uno es el tradicional de la creación de un entorno adecuado. Parte de la base que nuestro entorno condiciona nuestro comportamiento. De ahí la enorme importancia de la cultura organizacional, del tone at the top y de los sistemas de evaluación y de remuneración variable. Al final, las personas tienden a hacer lo que creen que se espera de ellas.

Otro tema, muy relacionado es el enfoque psicológico del behavioral compliance. Las medidas típicas se basan en construir sesgos positivos, nudging y modelos de arquitectura de decisiones.

Hoy, los programas de compliance los contemplan con un éxito limitado más allá de las declamaciones escritas.

Otros caminos brinda la tecnología: Uno es la automatización de procesos sacando al factor humano del medio.

Otro es el monitoreo predictivo. El intento de predecir comportamiento en base a conocimientos adquiridos por un amplio monitoreo de las personas a través de datos electrónicos como emails, redes sociales y registros telefónicos, geoubicación y relaciones personales y familiares.

Sistemas de inteligencia artificial permiten en base a estos datos predecir comportamientos en determinadas situaciones y pueden enviar a la persona advertencias concretas ¨just in time¨ antes de tomar una decisión importante o seleccionarla para entrenamientos específicos.  La tecnología lo hace posible y las empresas lo utilizan cada vez más.

Es un camino menos tradicional y más controvertido.  Restringe o directamente elimina la privacidad no solo de datos sino de las personas.

Es el futuro de compliance. Lo discutimos en nuestra conferencia anual mañana y pasado mañana.