Читать книгу Los ocho pilares de Compliance - Matthias Kleinhempel - Страница 12
Mapeo de riesgos de ética & compliance. ¿Y después, qué?
ОглавлениеLos mapeos de riesgos de É&C son la base de cualquier programa de integridad efectivo, tal como se ha mencionado, reiteradamente, en secciones anteriores. Los reguladores internacionales y, también, la legislación argentina los exigen, tal como lo he comentado. Son procesos complejos que incluyen el reconocimiento y la evaluación de riesgos no típicos en los mapeos de riesgos estratégicos y operativos, como los relacionados con la cultura, el gobierno corporativo, así como la organización y efectividad del área de É&C. En consecuencia, su ejecución resulta difícil y es muchas veces subóptima7.
Más allá de las dificultades de realizar un mapeo en sí, se suman cuestiones complejas a resolver mirando sus resultados: un mapa de riesgos de É&C suele abarcar una gran variedad de temas provenientes de muchas áreas de la organización. Para poder adjudicar los recursos para la mitigación a los riesgos más importantes, hay que priorizarlos. ¿Quién lo hace? La respuesta a esta pregunta importa: la relevancia y los recursos que se le da a su mitigación depende de la prioridad otorgada, y esta depende de la evaluación realizada por su responsable. Por más que el compliance officer es el responsable del proceso, la responsabilidad de los riesgos es compartida a través de la organización. Además, el mismo programa de compliance y la organización de compliance deben evaluarse como áreas de riesgo. Parece aconsejable que la priorización esté a cargo de una comisión integrada por los responsables de las áreas de Riesgo, Compliance, Legales y Auditoría Interna en colaboración con el área operativa en cuestión.
Una vez identificados, evaluados y priorizados los riesgos de É&C, se plantea la pregunta: ¿a quién(es) asignar el rol de dueño de los riesgos y, por ende, la responsabilidad de su mitigación y monitoreo?
Quizás, los riegos más grandes residan en las unidades de negocio. Pero, según un estudio de PwC, muy pocas veces son las unidades de negocio los dueños de alguno de estos riesgos8. Es discutible cuántos y cuáles de los riesgos de É&C sería adecuado asignar a las unidades de negocio. Al menos aquellos riesgos muy relacionados a su actividad deberían caer en su responsabilidad de gestión (con el apoyo y monitoreo del área de Compliance).
Una centralización de la responsabilidad de la mitigación de estos riesgos en el área de Compliance requiere su mayor involucramiento en el día a día de los negocios y, por ende, un mayor peso en la organización. La contracara, sin embargo, puede ser que esas unidades prefieran no consultar al área de Compliance para evitar las incomodidades relacionadas, o al menos, percibidas.
Los riesgos de É&C, con dueños dispersos en la organización, involucran más activamente a “la primera línea de defensa”, especialmente, las unidades de negocio. Facilita la aceptación de la organización en los objetivos de la mitigación de estos riesgos, y puede, además, contribuir a que el área de Compliance no sea vista como una función policial, que impone límites “desde afuera” y sin comprensión de las necesidades del negocio, sino como consultor y guía. Requiere de Compliance un mayor trabajo de coordinación y persuasión. Está en línea con el pensamiento de un área de Compliance que acompaña y guía a las unidades de negocio y a otras áreas centrales, como Recursos Humanos, en sus decisiones, pero no es responsable de las decisiones tomadas por ellas.
Dentro del rol de dueños del riesgo, es importante que las unidades de negocio también se involucren en los planes de contingencia (documentos que son de crucial ayuda en caso de que efectivamente un riesgo se materialice, ya que son ellas las que probablemente deban tomar algunas de las primeras medidas en forma urgente e inmediata; y en ese punto, es donde la situación puede recibir un balde de agua… o de combustible).
La definición de quién es el dueño de los riegos de É&C es crucial en la determinación de la estructura, forma de trabajo del área de Compliance y se debe reflejar en la descripción del puesto de trabajo del compliance officer. Una centralización de la mayoría de los riesgos de É&C en el área de Compliance (como pasa en la mayoría de los casos) lleva a que Compliance adquiera una posición más activa en el día a día de los negocios de la compañía y requiere mayores recursos, tanto de personal calificado como de recursos financieros. Lo que habrá que evitar es la combinación al revés: la centralización de la responsabilidad de los riesgos de É&C sin los recursos necesarios para poder ejercer esta función efectivamente.
3 www.traceinternational.org. Último acceso: 27/03/21.
4 www3.weforum.org. Último acceso: 27/03/21.
5 www.gobernabilidadytransparencia.com. Último acceso: 27/03/21.
6 www.justice.gov. Último acceso: 27/03/21.
7 www.gobernabilidadytransparencia.com y fcpacompliancereport.com. Último acceso: 03/02/21.
8 www.pwc.com Último acceso: 27/03/21.