1. Basar el análisis exclusivamente en fórmulas
matemáticas
Los cálculos relativos a la probabilidad y al
impacto de los riesgos analizados pueden realizarse manualmente o con el
apoyo de aplicaciones y hojas de cálculo. Estas herramientas son de gran
ayuda, pero no pueden ser el único soporte del análisis de los riesgos. Las
fórmulas deben contener factores de ponderación que permitan ajustar los
cálculos a la realidad, a través de multiplicadores y divisores que tengan en
cuenta el contexto. Pero lo más importante es que el análisis lo realice un
profesional especializado, que tenga conocimientos de las dinámicas
comisivas, del sector al que pertenece la empresa y del factor humano, que
hace que cada empresa sea distinta. Una vez obtenidos los resultados, debe
aplicarse el filtro del sentido común, basado en este caso en la experiencia
del profesional que firma el informe y en una visión en conjunto del
análisis, que compare la valoración de cada riesgo con todos los demás,
asegurando que se cumple el principio de proporcionalidad.
2. Aplicar un factor multiplicador excesivo a la
existencia de un precedente
En uno de los informes revisados, que correspondía a
una empresa industrial, el delito de pornografía infantil apareció en el
grupo de los delitos con mayor probabilidad de comisión. Ello se debía a que
el consultor había utilizado un algoritmo que aplicaba un factor
multiplicador a la existencia de un precedente relativo a ese delito en la
empresa. Incluso en el caso de no utilizar herramientas informáticas, la
existencia de un precedente se valora excesivamente en los informes
analizados. El profesional que realiza el análisis debería tener en cuenta
todos los factores, y realizar un juicio de proporcionalidad, teniendo en
cuenta el contexto, los restantes riesgos y la probabilidad de que el delito
vuelva a cometerse. También debe tenerse en cuenta la antigüedad y las
circunstancias del precedente, ya que pueden haberse producido cambios en la
empresa y en las personas que participaron en él. En el caso concreto
analizado, la persona que cometió el delito ya no estaba en la empresa.
3. Basar el análisis de la probabilidad
exclusivamente en la opinión del (cliente – usuario)
Sería pecar de frivolidad aplicar a este caso la
frase "los pacientes siempre mienten"del Dr. House, porque no es
cierto que los clientes siempre mientan. El problema es que no son objetivos.
No pueden serlo. Podríamos decir que el cliente está contaminado por las
prácticas de la empresa y del sector al que pertenece y le cuesta tener
una visión que se sitúe por encima de lo que está acostumbrado a ver. Tampoco
conoce las dinámicas comisivas ni los factores de riesgo. Además, puede estar
afectado por la "niebla de la batalla", es decir, la dificultad
para sacar conclusiones a largo plazo o de tener una visión completa de todo
el escenario a causa de la constante atención que requieren los asuntos a
resolver diariamente y las urgencias del negocio. En este caso incluyo en el
concepto cliente al conjunto de personas entrevistadas durante el proceso de
análisis de riesgos. El cliente es un gran experto en su empresa y nos
va ayudar mucho a conocer sus puntos débiles, pero no puede convertirse en
absoluto en la única fuente de información. El profesional debe documentarse
y tener en cuenta el conocimiento que él mismo puede aportar al análisis a
través de otras fuentes de información y de su propia experiencia.
4. Basar el análisis del impacto exclusivamente en
la opinión del (cliente – usuario)
En mi opinión es un error partir exclusivamente de
las respuestas del cliente para calcular el impacto económico y reputacional
de la comisión de un delito en el seno de la empresa. Un área en la que los
profesionales podemos aportar conocimiento es justamente en la valoración
económica de las consecuencias de un delito. Los abogados, por ejemplo,
pueden analizar la jurisprudencia y conocer el rango en el que se mueven las
indemnizaciones por responsabilidad civil derivada de un delito. Pueden
también cuantificar las multas aplicables a cada tipo penal y los distintos
supuestos agravados. Por ultimo debemos apoyarnos en expertos para
cuantificar el impacto de cada delito en la marcha del negocio y para
analizar los posibles daños en la reputación de la empresa en el mercado, la
presumible reacción de los clientes y su comportamiento en materia de
pedidos. A pesar de la importancia de este trabajo casi todos los
informes revisados basan el análisis del impacto exclusivamente en la
opinión del cliente. Y después incluyen un disclaimer exonerándose de cualquier
tipo de responsabilidad por los errores de valoración, ya que el análisis lo
ha hecho el cliente y no ellos. Supongo que por eso se dice que se paga a los
consultores para que te digan lo que ya sabes, pero lo que encuentro excesivo
es que encima te lo pregunten a ti y no lo averigüen por otros canales para
confirmar que las conclusiones son acertadas.
5. Utilizar al (cliente – usuario) como única fuente
de información sin aportar valor al análisis
Este punto es una conclusión de los dos anteriores.
Considero que el profesional al que se le encomienda la valoración del riesgo
penal debe tener experiencia en el sector, conocimiento de las dinámicas
comisivas y de los riesgos, así como fuentes de información suficientes
para que su intervención en el proyecto sea valiosa y no se limite a
transcribir lo que opinan los interlocutores entrevistados.
6. No tener en cuenta el factor humano y el instinto
defensivo del interlocutor
Los interlocutores entrevistados tienen
habitualmente escasa práctica en materia de autodianóstico y autocrítica.
Además de los factores culturales, es inevitable que el entrevistado se
sienta de alguna manera investigado y adopte una posición defensiva, como si
de un interrogatorio se tratara. Esta reacción es muy humana y obliga a un
trabajo previo de distensión y de información sobre el objetivo final del
proyecto. A pesar de esta preparación previa, las repuestas del entrevistado
pueden estar contaminadas por el miedo y ocultar situaciones de riesgo.
También pueden centrase excesivamente en la labor preventiva realizada para
justificar su trabajo. Este esfuerzo de justificación dilata mucho las
entrevistas, ya que cada pregunta tiene como respuesta un arsenal de
argumentos defensivos que además distorsionan los resultados. Esta es una
razón más que obliga a ponderar los resultados con otras fuentes de
información y con la habilidad de identificar los riesgos que han quedado
ocultos a causa de las estrategias de autodefensa.
7. No apreciar el traspaso de responsabilidades
entre departamentos
El efecto inmediato de la estrategia de autodefensa
del entrevistado es un truco de prestidigitación que consiste en que, al
acabar la entrevista, el consultor está convencido de que el riesgo se
concentra en otro departamento. Esta habilidad, innata o adquirida,
consciente o inconsciente, se potencia en las empresas en las que se producen
duplicidades organizativas, se asignan competencias similares a distintos
departamentos o bien las funciones de control no están correctamente
establecidas. Un error habitual es dejarse llevar por acusaciones
interdepartamentales, aunque éstas no sean evidentes. Esta maniobra de
distracción hace que no se profundice en el análisis de riesgos del
departamento entrevistado y que se sobrevaloren los riesgos de otros
departamentos.
8. No comparar los resultados del análisis con el
mapa de riesgos sectorial
Para evitar que la subjetividad en las respuestas
del entrevistado nos contamine, tenemos que haber hecho antes los deberes. Lo
ideal es haber elaborado un mapa de riesgos sectorial que nos sirva de
referencia para comprobar si la empresa se ajusta o no al patrón y, en caso
negativo, conocer las causas. Es posible que el interlocutor esté hablando
constantemente en términos de riesgo residual, es decir el que permanece tras
la aplicación de los controles. Valorar el riesgo en estas condiciones sería
como medir el viento desde un coche en marcha. En los informes revisados no
he encontrado referencia alguna a la situación de la empresa en relación al
mapa de riesgos del sector.
9. Presentar los resultados sin haber aplicado
el filtro del sentido común
El informe en que se consideraba altamente probable
el delito de pornografía infantil en una empresa industrial no se habría
llegado a presentar si se hubiese realizado un juicio previo de
proporcionalidad. No es lógico que en el sector industrial la probabilidad de
que este riesgo se materialice esté por encima del relativo al delito
medioambiental, por ejemplo. Antes de presentar el informe a un Consejo de
Administración hay que realizar una comprobación tan simple como la de
someter las conclusiones finales a los principios básicos del sentido común.
10. Atribuir al (cliente – usuario) los errores que
se produzcan en la valoración del riesgo
Y lo que considero fuera de lugar, aunque el socio
que firma el informe esté atormentado por su departamento de Risk Management,
es incluir un disclaimer que reconozca literalmente que no se ha hecho
un análisis de riesgos sino que la labor del consultor se ha limitado a
solicitar la opinión del cliente y a transcribirla en el informe, por lo que
si el cliente está equivocado, la firma consultora no tiene la culpa.
Considero que el cliente espera algo más de la firma a la que ha solicitado
que valore sus riesgos. Cuando vamos a un centro médico de reconocido prestigio
para realizar un chequeo lo último que esperamos es que el médico se limite a
preguntarnos cómo nos encontramos. Nuestro cuerpo, los instrumentos de
medición y los análisis clínicos son fuentes de información mucho más fiables
que nuestra simple opinión no experta. Aunque nos conozcamos muy bien. El
cliente confía en nuestro criterio y en un cierto nivel de implicación en la
valoración de sus riesgos. Implicación que debería extenderse a la propuesta
de soluciones. Pero es de suponer que el propio disclaimer habrá dejado bien
claro que eso no forma parte del alcance del trabajo contratado y que hay que
pedir otro informe en el que habrá otro disclaimer que exonerará de
responsabilidad a la firma consultora, porque las soluciones propuestas
también se basan en la información suministrada por el cliente, y no en la
creatividad y el talento que cabría esperar a la vista de las facturas
suministradas por la consultora.
Temas relacionados en el siguiente link:
|
Asesoramiento en temas relacionados a prevención de delitos. Determinación de criterios condición causa y efecto (hallazgos). Matriz de riesgos con software especial aplicando estadares internacionales para toda clase de empresa.
martes, 28 de abril de 2015
10 errores habituales en el análisis de riesgos
Suscribirse a:
Entradas (Atom)