Читать книгу Los ocho pilares de Compliance - Matthias Kleinhempel - Страница 9

Riesgos de ética & compliance

Оглавление

En su guía para el Foreign Corrupt Practices Act (FCPA), el Departamento de Justicia de los Estados Unidos dice que para desarrollar un programa de compliance efectivo hay que evaluar los riesgos, y que la Securities and Exchange Commission (SEC) y el Departamento de Justicia se fijarán en esta evaluación cuando la empresa tenga un incidente. Este aspecto se encuentra con toda claridad también en la Federal Sentencing Guidelines (FSGO) desde 2004.

Desde ahí, es estándar decir que todo programa de compliance debe basarse en una evaluación de los riesgos de ética y compliance (É&C) que enfrenta la empresa.

Suena lógico: los programas de É&C están ahí para prevenir actos contrarios a normas, regulaciones y valores de la organización (y mitigar sus consecuencias si, a pesar de todo, ocurren). Para organizar esta prevención, hay que saber cuáles son estos riesgos, dónde están, cuál es su importancia, cómo mitigarlos (o cuáles eventualmente asumir) y qué afectan si ocurren: aspectos financieros, organizacionales y/o la reputación.

Los riesgos de É&C son amenazas a la situación financiera, organizacional o reputacional por la violación de leyes, regulaciones, códigos de conducta o estándares y prácticas organizacionales. Esta es una, aunque hay miles de definiciones, pero, al final, son todas similares.

Tanto las FSGO como las leyes anticorrupción de Gran Bretaña y Brasil, la ley 27.401 de la responsabilidad penal de las personas jurídicas de la Argentina y las guías y manuales para estas leyes y regulaciones requieren de las empresas que se basen en los resultados de mapeos de riesgo para diseñar, implementar y modificar cada elemento de su programa de É&C.

Sin este punto de partida, sus programas no serán considerados “efectivos” y, por ende, no servirán como mitigador en caso de un “incidente”.

Estas leyes, regulaciones y guías no dicen mucho sobre cómo deben hacerse los mapeos de riesgos de É&C. Se limitan a aclarar que deben cubrir la naturaleza y seriedad de la posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y una priorización de estos riesgos.

No dan una guía sobre cómo estos mapeos de riesgo se deben hacer, pero ahora el Departamento de Justicia de Estados Unidos, en un cuestionario para fiscales que investigan empresas, les requiere preguntar por la metodología que la organización bajo investigación ha utilizado para elaborar el mapeo. En otras palabras, en el futuro, los reguladores y fiscales se van a interesar más por la profesionalidad con la cual se han realizado.

Los mapeos de riesgos de É&C tienen sentido más allá de los requerimientos regulatorios para poder acceder a menores multas. Son necesarios para que la organización entienda su exposición a riesgos, la probabilidad, las razones por las que se pueden materializar y qué impacto pueden tener. Son necesarios, también, para poder priorizarlos, así como para asignarles dueños y recursos para su mitigación. Son la forma de focalizar esfuerzos y recursos, en vez de repartirlos con una “regadera” de manera cara e ineficiente en toda la organización.

Para entender la situación, muchas empresas tendrán que mejorar sus procesos de evaluación de riesgos para abarcar en forma más sistémica su exposición a riesgos de É&C. Las regulaciones internacionales y locales se multiplican y las expectativas de los stakeholders importantes de las organizaciones también. La consecuencia son riesgos de É&C no solo mayores, sino también más complejos de reconocer y de mitigar. Los riesgos típicamente nombrados en este contexto son los que presentan las regulaciones, contactos con la administración pública (como cliente, proveedor o a través de la aduana), el sector industrial, el modelo de negocio y los socios en el negocio. Otros recomiendan acercarse al tema desde las siguientes categorías: riesgos de la compañía, riesgos del país, riesgos del sector, riesgos transaccionales y riegos de socios en el negocio/cadena de valor.

Muchos enfoques nacieron desde las FSGO y, en consecuencia, tienen un fuerte componente de riegos de corrupción. En la evaluación de riesgos de É&C, es importante no perder de vista una gran cantidad de riesgos no necesariamente vinculados a la corrupción, como la seguridad de datos, los riesgos medioambientales o la discriminación.

Hay muchas formas para conducir un proceso de mapeo y evaluación de riesgos de É&C. Es importante, sin embargo, tener en mente algunos conceptos básicos: la evaluación de riesgos nunca es un ejercicio único. Se recomienda repetirlo periódicamente en forma anual o bianual. Los riesgos cambian con el tiempo y nuevos riesgos aparecen.

La evaluación de riesgos de É&C es una herramienta vital para tomar decisiones sobre el diseño y la implementación de los diferentes elementos del programa de É&C. Más allá de este objetivo, el mapeo y el análisis de estos riesgos en sí contribuyen a aumentar la sensibilidad para estos temas en la organización y constituyen una importante parte del tone at the top.

El mapeo y análisis de los riesgos de É&C tiene algunos aspectos particularmente desafiantes para el proceso mismo: incluye valores y aspectos de ética, conceptos blandos de, a veces, difícil acceso para su reconocimiento, definición y evaluación. Típicos ejemplos son los riesgos basados en la cultura organizacional, como por ejemplo la presión por resultados, la alineación de valores e incentivos, la lealtad de los empleados, la justicia interna, el clima de transparencia, la posibilidad de formular críticas, entre otros.

Su inclusión es de suma importancia, porque son determinantes importantes a tener en cuenta para un programa de É&C efectivo.

La evaluación de riesgos de É&C no debe hacerse como en una suerte de silo del área de Ética & Compliance, ya que comprende a toda la organización transversalmente. Pero como típicamente es el único proceso que busca identificar riesgos legales, regulatorios y éticos/culturales, requiere un enfoque más focalizado que el más amplio del Enterprise Risk Management (ERM). El dueño es el chief compliance officer.

Los determinantes de los riesgos de É&C se encontrarán mejor utilizando grupos interdisciplinarios y con la intervención de individuos de todos los niveles de la organización. Los “operativos” ven muchos riesgos más de cerca y con mayor claridad que los ejecutivos altos. Además, con la activa intervención de los dueños de los riesgos, los resultados del proceso y las mitigaciones tendrán mayor credibilidad.

El análisis de datos como estadísticas de la línea de denuncia, reportes de compliance, acumulaciones de ciertas transacciones sospechosas, tendencias y menciones en medios sociales, etc., proveen una buena base para el mapeo de riesgos.

Los resultados deben integrarse en el mapeo y análisis de riesgos de la organización.

Al final debe haber resultados prácticos: visibilidad de los determinantes de riesgo, la probabilidad de materialización de los riesgos y la gravedad de los impactos. Esto ayuda a priorizar los riesgos, designar dueños y asignar recursos para su mitigación.

Para que los resultados sean prácticos, deben ser operacionables, es decir, permitir tomar decisiones sobre el programa de É&C, como nuevas políticas o la adecuación de políticas existentes, fijación de objetivos de educación y entrenamiento, su contenido, periodicidad y formatos y audiencias específicas, adecuación, ampliación o eliminación de monitoreos y controles, formas de mitigación de los riesgos culturales y éticos.

En resumen, un proceso complejo que conviene realizar con un objetivo claro en mente: poder operativizar sus resultados en los elementos del programa de É&C con foco en los determinantes culturales, que suelen ser los más poderosos.

En un taller del Centro de Gobernabilidad y Transparencia del IAE, el 30 de marzo de 2017, realizamos una encuesta informal sobre el uso de mapeos de riesgo de É&C en las empresas. Participaron casi cien compliance officers y abogados de empresas internacionales y locales grandes. No es una encuesta que permita sacar conclusiones estadísticamente válidas, pero demuestra los grandes rasgos de la situación actual. Considerando la importancia regulatoria y organizacional de contar con un mapeo de riesgo de É&C bien diseñado, parece existir espacio para mejoras: el 74 % de las empresas presentes dijeron contar con una evaluación de riesgos de É&C y el 68 %, algo menos, dijeron basarla en un mapeo de riesgo formal.

Es decir, más del 25 % de las empresas grandes en el país no contaba con una evaluación de sus riesgos de É&C y casi el 30 % no realizaba mapeos de estos riesgos. Desde entonces estos porcentajes han cambiado. Sin embargo, hay muchas dudas respecto a la calidad de los mapeos de riesgos de ética & compliance que se realizan. Suelen limitarse a algunos riesgos de corrupción.. Solo algo más de la mitad de las empresas (el 55 %) manifestaba incluir en su mapeo de riesgo a los niveles operativos, que son precisamente los que conocen los riesgos mejor que nadie y deben necesariamente formar parte de la elaboración del mapeo. El dato quizás más preocupante es que solo en el 27 % de los casos decía que la evaluación de riesgos incluye riesgos de la cultura organizacional, que es el área donde residen la mayoría de los determinantes de riesgo de É&C, como la alta presión por resultados a corto plazo, el liderazgo autoritario, las inconsistencias entre valores declamados y sistemas de incentivos, entre otros.

Se plantea la pregunta de en base a qué estas empresas diseñan sus programas de É&C

Un minimanual con los puntos esenciales a observar al realizar un mapeo de riesgos de É&C y la definición de los mitigadores tendría los siguientes títulos y temas:

 Cada mapeo es diferente, pero todos tienen algo en común: la metodología. El dueño del proceso es el compliance officer.

 Hay que trabajar con un grupo multidisciplinario y multijerárquico. Es de importancia que el/los grupo/s de trabajo incluya/n no solo las diferentes áreas directa e indirectamente expuestas a riesgos de É&C, sino también a los diferentes niveles, empezando con la alta dirección y llegando hasta los niveles operativos, que a menudo ven con mayor claridad ciertos riesgos que los niveles gerenciales no. Además, un grupo diverso sufre menos de ceguera motivada.

 Se utilizan los datos y demás información disponible de la línea de denuncias, entrevistas de salida, políticas y procesos, informes de auditorías y reportes de compliance. Se realizan entrevistas individuales, encuestas y talleres.

 En un primer paso, se elabora un inventario de riesgos de É&C y se analizan sus determinantes. Puede servir de base un listado abarcativo de posibles riesgos para despertar la sensibilidad. Ejemplos son leyes y regulaciones: FCPA, Anti Trust, regulaciones de la industria, prevención de lavado de activos (PLA) y financiamiento del terrorismo (FT), seguridad de datos, riesgos en la cadena de valor, riesgos del programa de É&C, riesgos de compliance en recursos humanos, riesgos de la organización, riesgos del modelo de negocio, riesgos de conflictos de interés, etc.

 Típicamente, surgen para cada riesgo varios determinantes. Los determinantes más importantes y, a la vez, más difíciles de encontrar y describir son los relacionados a la cultura: la presión por resultados, el tone at the top (y en el medio), la consistencia de los valores con los incentivos, la justicia interna, el clima de transparencia, así como el rol y la posición del compliance officer, las políticas y procesos, el entrenamiento y la comunicación.

 Para priorizar los riesgos inventariados, hay que medir su probabilidad de ocurrencia y su impacto. Cómo hacerlo resulta a veces difícil. Una cuantificación no siempre es posible. Las estimaciones se pueden mostrar en escalas (bajo, medio, alto…).

 Se otorgan prioridades a los riesgos de mayor impacto, o a los riesgos crecientes, y se asignan acciones de mitigación, responsables y planes de acción.

Una buena gestión de riesgos de É&C resulta en un programa de É&C calibrado a las áreas de mayor riesgo identificadas en este proceso, que es realimentado por la repetición periódica del proceso.

Los ocho pilares de Compliance

Подняться наверх