Los ocho pilares de Compliance E-Book

Matthias Kleinhempel

Los ocho pilares del compliance / Matthias Kleinhempel. - 1a ed. revisada. - Ciudad Autónoma de Buenos Aires : Temas Grupo Editorial, 2021.

Libro digital, Amazon Kindle

Archivo Digital: descarga y online

ISBN 978-987-8387-30-7

1. Ética. 2. Responsabilidad Pública. I. Título.

CDD 658.001

A Nelita, Max y Nico.

A todos los que de una u otra manera han contribuido a este libro con sus contribuciones, su expertise y experiencias compartidas en actividades del Centro de Gobernabilidad & Transparencia.

Ser Compliance Officer en la América Latina de hoy:

una tarea desalentadora pero fascinante

Hay una gran cantidad de documentos y directrices disponibles sobre Ética y Cumplimiento (É&C), pero sólo unos pocos están diseñados para aquellos responsables de asegurarse de que los estándares de integridad lleguen a todas las partes de la organización. Esta obra, que se enfoca en los ocho pilares del compliance, arroja luz sobre el verdadero rol de la función, el lugar que ocupa en la vida corporativa y propone herramientas prácticas que resultan de gran valor para quienes ponemos el cuerpo en esta tarea fascinante.

El libro sobre los ocho pilares del compliance está especialmente dedicado a quienes estamos involucrados en la función de É&C, o lo estaremos en el futuro cercano. Podemos trabajar en compliance a tiempo parcial en una estructura pequeña o a tiempo completo en una organización más grande. Puede que seamos la única persona encargada de É&C en la empresa o que formemos parte de un equipo más grande. Si no estamos directamente involucrados en el cumplimiento, puede que nos encontremos estrechamente relacionado con él, por ejemplo, a través de una función de control en auditoría interna.

Para todos nosotros, esta obra ofrece orientación práctica y sugerencias útiles basadas en la experiencia del autor. Hace más de 10 años que dirige el Centro de Gobernabilidad y Transparencia del IAE Business School y, desde allí, ha podido realizar una meticulosa selección de artículos y papers que han sido la arcilla con la que el autor dió forma a esta obra.

Es, en esencia, una herramienta de capacitación, no un libro más sobre anticorrupción y responsabilidad penal de las organizaciones. No se detiene en consideraciones teóricas sobre la necesidad de que las empresas cumplan con las normas legales y éticas. Ha llegado el momento de profundizar en el verdadero mecanismo de toma de decisiones y darle a la función É&C la altitud de vuelo necesaria para ayudar al negocio a superar dilemas concretos y emitir juicios difíciles.

Lo que se espera de nosotros es que ayudemos a traducir la expectativa de transparencia e integridad a la realidad cotidiana de la gestión comercial. En última instancia, el éxito de nuestra organización para alcanzar altos estándares éticos dependerá (en gran parte, pero no exclusivamente) de los esfuerzos sostenidos para fomentar una cultura de integridad efectiva. Nuestra función es inculcar en la organización un nuevo conjunto de reflejos, permitiendo que los colaboradores actúen espontáneamente de la manera correcta.

Un primer paso será conocer los productos, servicios, procesos y procedimientos de nuestra organización. Deberíamos poder hablar con el mayor grado de credibilidad a todos en la empresa, del primero al último. Para estar en condiciones de aconsejar, alentar, advertir o sancionar, nuestros colaboradores deben reconocernos como “uno de ellos”, y no como paracaidistas que llegaron desde el exterior.

Vendrán a buscarnos con preguntas del tipo: “¿Debo aprobar este pago?”, “¿Debo aceptar el nombramiento de este intermediario?”, “¿Debo informar esta circunstancia?” Para ser totalmente creíbles, deberíamos ser capaces de demostrar que tenemos una comprensión completa de la situación, tanto en sus aspectos éticos como comerciales. Por lo tanto, será crucial que nos mantengamos al corriente de los desarrollos industriales, comerciales y financieros de la empresa. No deberíamos encerrarnos en nuestra función. Estemos atentos a los nuevos productos y servicios y tengamos en cuenta la expansión a nuevos mercados, nuevos canales de comercialización, y cambios en el modelo de gobierno de la organización.

Esto es parte de la gestión de riesgos. No se puede poner en marcha una política genuina de É&C sin comenzar con una evaluación de riesgos de la organización, tal como el autor nos explica en el Pilar 1. El mapeo de la exposición a riesgos de É&C nos permitirá evaluar las fortalezas y debilidades de nuestra organización y establecer las prioridades. Deberíamos identificar las áreas más sensibles, qué unidades de negocios presentan la mayor exposición al riesgo, y qué instancias o actividades han generado la mayor cantidad de incidentes.

Una evaluación exhaustiva del riesgo, que se actualiza periódicamente y permite dirigir el tiempo y la energía a las necesidades más urgentes, lleva a que É&C tome distancia de los temas estrictamente legales. El autor, en línea con los postulados del Centro de Gobernabilidad y Transparencia, nos recuerda que compliance es un tema de gestión, de management, donde las palabras clave son otras: Cultura organizacional, liderazgo, confianza, principios y aspectos psicológicos. Todos estos conceptos se integran en lo que hoy se conoce como behavioral compliance, behavioral ethics y behavioral risk.

De esta forma, cuando el autor se refiere al Pilar 2, nos destaca que la importancia de la cultura y los principios que guían a los empleados se expresa en la búsqueda de un adecuado tone (y Conducta) at the top. No es lo mismo que lo escrito en el código de conducta.

Con toda lucidez, el autor reconoce que el verdadero tone at the top se ve en los sistemas de incentivos. Si una parte importante de la remuneración es variable y depende del cumplimiento de objetivos de ventas a corto plazo, no sólo se convierte en una invitación al atajo, además crea entre los colaboradores un cinismo cruel y la convicción de que ”los de arriba” solo quieren crear una pantalla para mitigar sus riesgos personales.

Cuando falla el tone at the top, dice el autor, falta la base para una cultura de integridad, sin la cual ningún programa de compliance puede funcionar. Para que funcione, el autor nos propone poner en marcha cinco elementos esenciales, consistentes entre sí: Liderazgo; Justicia interna; Sistemas de incentivos; fomento de una cultura de speak up; e Integridad como valor absoluto, y no como ecuación de riesgo beneficio.

El autor indica que la prevención se logra con un mejor proceso de toma de decisiones. Plantea la pregunta: ¿Cómo se logra que la gente tome buenas decisiones en situaciones difíciles? Debemos tener presente que la toma de decisiones éticas involucra, necesariamente, no sólo a la cultura y las normas, sino también los sesgos cognitivos de las personas. Los entrenamientos cortos, frecuentes, interactivos y concretos, basados en la resolución de dilemas, serán clave para que el camino correcto sea la elección natural.

Sin embargo, en la mayoría de los casos, terminamos enmarcando nuestras comunicaciones y entrenamientos sin pensar mucho en cómo será percibido por nuestro público. Las políticas y mensajes tienden a ser redactados en un idioma formal, legal y de prohibición (convengamos que la mayoría de nosotros tiene un background legal). Desafortunadamente, es la forma más directa para llegar al razonamiento no deseado. Como dice el autor, la mente de las personas no es simplemente una máquina cableada para reaccionar de determinada forma; es, más bien, una obra de arte que actúa y reacciona en base a metáforas, narrativas y emociones.

Debido a que las presiones del entorno influyen fuertemente en nuestras decisiones, el autor nos recomienda identificar su índole y magnitud en los mapeos de riesgos de É&C. De esta forma, podremos contribuir a disminuir las presiones negativas del entorno.

Una pregunta frecuente que nos hacemos es “¿cómo hago para inspirar integridad en mi organización o, mejor dicho, a sus miembros, desde el CEO hasta el cadete?” El autor nos enseña que se trata de un proceso directo y “auto-administrado”, que se produce desde arriba hacia abajo y es continuo, se da todos los días. Es el tone at the top aplicado con el ejemplo. Requiere de mucha disciplina y justicia interna: un solo paso en falso daña enormemente la credibilidad.

El autor insiste a lo largo de esta obra con nuestro rol como trendspotters, como guías para la alta dirección detectando hacia dónde se dirige el tren de los comportamientos aceptados por la sociedad y los cambios regulatorios que los siguen. Adquiere mayor importancia nuestra faceta de guardián del comportamiento debido, y no solo la del comportamiento permitido. Así, para preservar la percepción positiva de la empresa entre sus stakeholders, no alcanza con una mirada legalista desde el entorno normativo actual. Opina el Prof. Kleinhempel que la clásica función de compliance ha muerto y se convirtió en una función más abarcativa de ética e integridad, la cual para el mundo de los negocios puede ser más seductora, pensando en sus efectos sobre la reputación.

Cuando el autor se refiere al Pilar 3 dedicado al rol del compliance officer, nos recuerda que el éxito depende básicamente de cuatro aspectos: 1) nuestra independencia de las divisiones de negocio y otras funciones que eventualmente puedan estar involucradas en actos inadecuados; 2) un posicionamiento de rango estratégico; 3) el acceso directo al Directorio en caso de cualquier irregularidad; 4) que contemos con la calificación técnica, la reputación y una gran capacidad de relacionamiento personal con todos los niveles jerárquicos de la organización.

No existe un patrón uniforme o incluso preferido para trazar la función de cumplimiento en el organigrama. Puede ubicarse dentro del departamento legal o puede establecerse como un departamento nuevo, independiente, enfatizando así su misión específica y, a menudo, novedosa. Puede integrarse como parte de la función de auditoría interna o en el departamento de finanzas. En realidad, el lugar de la función de cumplimiento en la organización será dictado de forma pragmática por el tamaño de la empresa, su estilo de gestión (que puede ser centralizado o descentralizado) y la naturaleza de sus actividades.

Si bien la localización de la función de cumplimiento puede no ser de una importancia abrumadora, su autonomía operativa y su capacidad para acceder a la alta gerencia/directorio/dueños de la empresa serán factores decisivos para nuestro éxito final. No hay que confundir “autonomía” con “independencia”. La independencia total de la función de É&C es una quimera poco realizable en la práctica: siempre van a existir personas ajenas a la función que, entre otros, definan los parámetros de recursos humanos aplicables, nuestra evaluación de desempeño, remuneración, beneficios, desarrollo profesional, etc. Otras personas, también fuera de la función, aprobarán, rechazarán o modificarán el presupuesto de É&C. Lo que realmente importa, entonces, es que tengamos autonomía, es decir, una genuina libertad de acción y de expresión. Deberíamos poder definir las prioridades (basadas en una evaluación de riesgos), redactar y enmendar el Programa de Integridad, establecer políticas sobre temas específicos, comunicar nuestros mensajes de manera eficiente en toda la organización, controlar actividades en todas partes en la empresa, y tomar medidas cada vez que la ética está en juego.

Estas libertades se caracterizan, sobre todo, por un acceso sin restricciones a la alta gerencia. Cada vez que se plantea un asunto serio, que puede poner en peligro la reputación, deberíamos poder llevar dicha preocupación a la cima de la organización. Si el acceso estuviera condicionado, obstaculizado, obstruido o denegado, no podríamos funcionar correctamente. El denominado acceso a la alta gerencia tampoco tiene una respuesta uniforme. Dependiendo de la sofisticación del gobierno del ente, la opción preferida sería el acceso al presidente del Comité de Auditoría, que generalmente será un director independiente, colocándolo por encima de posibles conflictos de interés. Pero resulta que en América Latina sólo un puñado de empresas tienen Comité de Auditoría. En el caso de una pyme criolla, habrá que asegurarse el acceso al patriarca, idealmente a intervalos regulares. La cuestión de género también incide en É&C y ojalá veamos más mujeres en posiciones clave en las organizaciones ya que, aparte de su importancia por otras razones como la calidad de las decisiones, tiene un efecto positivo sobre los niveles de corrupción. El resultado demuestra que hay menos corrupción cuando lideran mujeres. No es casualidad que el mundo de compliance esté decididamente comandado por mujeres. Enhorabuena, el verdadero matriarcado del compliance.

Ahora bien, lo novedoso de nuestra tarea, su dificultad, y la especificidad de nuestra función requerirán que sea definido, junto con la alta gerencia, los términos de referencia para nuestro trabajo. Podrán diferir de una organización a otra, pero generalmente estarán presentes algunos elementos explícitos como (i) la asignación de tareas básicas (lo que se supone que debemos hacer; (ii) los medios prácticos que utilizaremos para alcanzar los objetivos (las herramientas y los presupuestos que nos asignarán para realizar las tareas); y (iii) la autoridad que nos otorgarán para lograr lo que se espera (el poder real que detentaremos).

Cuando el autor se refiere al Pilar 4 sobre comunicación, educación y entrenamiento, anticipa que una parte importante de nuestro trabajo es influenciar, persuadir y convencer a otros. Afirma que tanto la alta dirección como los ejecutivos y empleados deben ser persuadidos del valor del programa de É&C para la compañía, y para ellos como individuos. Deberíamos saber cómo lograr este objetivo de comunicación efectiva, a través de los entrenamientos, las discusiones individuales y la infinita cantidad de reuniones que sostengamos por día.

Por otro lado, una de nuestras tareas centrales será liderar el proceso de redacción de Políticas y Procedimientos de compliance. El autor aborda el Pilar 5 sobre Políticas y Procedimientos afirmando que el Código de Conducta es la piedra fundamental y la base de todo sistema de É&C. Es su “constitución”. Vale, entonces, que le dediquemos a su elaboración tiempo y criterio. El Código de Conducta, dice el autor, es una guía para tomar decisiones difíciles. Cuando son cortos y los redactamos en tono positivo (no como un listado de prohibiciones) y usando lenguaje cotidiano, se convierten en un documento de consulta permanente.

En un mundo más globalizado y con productos y servicios cada vez más commodities, advierte el autor que la ventaja competitiva más importante está más asociada al “cómo” se hacen las cosas y no tanto al “qué” es lo que se produce o comercializa; porque el “qué” se copia o mejora cada vez más rápido. Entonces, dice el autor, para poder diseñar un programa de É&C en la organización y lograr que sea efectivo, hay que diseñarlo desde la percepción de los empleados. Solo si ellos lo compran, y las declamaciones desde “arriba” les resultan creíbles, lo van a aceptar e internalizar en sus procesos de toma de decisiones.

Otra tarea importante tiene que ver con la gestión del canal de reportes. El autor nos deja, cuando desarrolla el Pilar 6, una guía de consejos prácticos para que las líneas de denuncias funcionen. Entre ellos destaca que el canal más natural es la conversación con el superior directo o con nosotros. Cuanto más se usa la conversación, más sana es la cultura de la compañía: demuestra que no hay miedo a hablar de temas sensibles. También resultará relevante encontrar una solución que proteja a los denunciantes en forma más efectiva. Si están protegidos, más aún se animarán a dar el paso.

Ahora que tenemos una mejor idea de nuestras tareas y conocemos los medios que nos darán para realizarlas, la autoridad suficiente para hacer que nuestra voz se escuche en la organización es un paso clave, tal vez será la cuestión más delicada para abordar en el proceso de establecer nuestra misión. ¿Podremos cruzar líneas jerárquicas para dar recomendaciones o instrucciones? ¿Tendremos una opinión (decisiva) sobre la selección, el nombramiento y la remuneración de los terceros que trabajen para la empresa, por ejemplo, un derecho de veto? ¿De qué manera vamos a interactuar con ellos? En general, ¿qué autoridad tendremos para revisar la fiel implementación del Programa de Integridad?

Al principio, quizás algunas oportunidades comerciales de corto plazo habrá que dejar pasar, pero seguramente esto tendrá un menor impacto que el daño que podría ocasionar un único escándalo de compliance, tanto desde el punto de vista de los mercados, como desde la propia fuerza laboral cada vez más comprometida con altos valores éticos. Explicar la relevancia de los objetivos de É&C, a pesar de los inconvenientes inevitables en términos de efectividad comercial, nunca será tiempo perdido.

Recordemos siempre que nuestro primer objetivo no es controlar y castigar, sino crear un clima favorable de negocios, desde el lugar que nos toca. Tal tarea requiere de altas dosis de persuasión, y la capacidad de alentar y fomentar el proceso. Esto solo será posible en un ambiente de confianza, no en una atmósfera de sospecha sistemática. Seamos más educadores que fiscales; más asesores que inspectores.

El autor también nos recuerda que sin monitoreo y testeo es imposible saber lo que funciona y lo que no, lo que (todavía) sirve y lo que no en el Programa de Integridad. Según el Pilar 7 los controles son necesarios, pero no se puede controlar todo. Aquí el autor plantea la interesante idea del balance entre control y confianza. Los problemas surgen cuando se modifica ese equilibrio: cuando el nivel de controles sube, los miembros de la organización lo perciben como una pérdida de la confianza en ellos.

Los controles, explica el autor, requieren de un alto grado de alineación de los objetivos de la organización y de los empleados. Es en este aspecto donde sale otra vez a la luz la importancia de la cultura organizacional y del tone at the top, requerido por los reguladores en todo el mundo.

Ahora que hemos tomado el control total de la función de É&C, nuestra misión está bien definida, sabemos qué recursos están disponibles y está claro nuestro nivel de autoridad, podemos respirar aliviados. Pero, de repente, asoma el primer escándalo. Todos van a mirar en nuestra dirección: ¿no debimos haber prevenido semejante cuestión? ¿Hemos estado lo suficientemente activos? ¿Hemos hecho todo lo que estaba a nuestro alcance?

La crisis nos baja a tierra rápidamente. Por un lado, ningún sistema de prevención, por sofisticado que sea, podrá garantizar la ausencia total de fallas. Ningún Programa de Integridad estará escrito en piedra, debería ser un proceso de construcción continua. Mientras sigue tan vigente la cuestión sanitaria, en tiempos de COVID-19, podemos crear protocolos estrictos, difundirlos adecuadamente, asegurarnos de que todos los recipientes de alcohol en gel estén en su lugar, pero no podemos evitar la escena en la que vemos a los colaboradores conversar amablemente con sus barbijos por debajo de las narices. Indudablemente, no somos máquinas perfectas.

Por otro lado, hay una diferencia fundamental entre ser responsable de no cumplir adecuadamente con un deber profesional y ser responsable de un delito. El profesional de É&C debe hacer su mejor esfuerzo para evitar que se cometa la conducta irregular. Incluso pudo haber actuado de manera negligente, pero difícilmente será culpado por el delito. Este es el debate que se viene, es decir, cuál será el alcance de nuestra responsabilidad personal.

Cuando el autor se refiere a la responsabilidad personal del compliance officer, es decir, cuando los reguladores empiecen a investigarnos y penalizarnos por Programas de Integridad que no resultaron efectivos, nos deja una importante advertencia. La alta exposición a riesgos personales se encuentra cada vez más cerca. Sin embargo, la función de cumplimiento puede llevar, advierte el Prof. Kleinhempel, a una responsabilidad con límites vagamente definidos y a situaciones poco controlables por nosotros. Nuestra real capacidad de prevención, monitoreo y control de todos los aspectos del Programa de Integridad está limitada y depende de la cooperación de otras áreas. Nuestra función pertenece a la típica “segunda línea de defensa”, según el modelo COSO de las tres líneas de defensa. Responsabilizar al compliance officer por hechos ilícitos nos “promocionaría” a la primera línea de defensa, que típicamente asume la gerencia que hace negocios.

Ahora bien, más allá de la atribución de responsabilidad a nuestra función, la cuestión de la justicia interna (y cómo ella es percibida), afirma el autor, es el termómetro que les indica a los colaboradores los verdaderos valores que nutren el programa de É&C. La justicia interna requiere mucha disciplina y cuidado en el día a día del trato de los colaboradores: a quién premiar; a quién castigar; cómo y qué festejar; no comprometer los valores por un éxito económico de corto plazo. La gente observa y sabe mejor que nadie quién hace qué.

En este caso, los desincentivos permiten demostrar a todos que los comportamientos inadecuados traen sanciones y aumentan la aversión al riesgo. Pero imponer una sanción requiere de un mecanismo justo de investigación interna, como el autor desarrolla en el Pilar 8. A la postre, estas crisis resultan ser el motor principal de la evolución hacia un Programa de Integridad más efectivo. En esto, como en otras cosas, aprendemos a los golpes.

Ahora bien, el tradicional enfoque de los incentivos negativos también tiene un costado poco deseado: el miedo a sanciones, a la obstaculización de negocios y a entrevistas desagradables, lo que no nos ayuda mucho en nuestro rol. Para completar el panorama, muchas veces nos perciben como un mal necesario que agrega costos. Esta percepción imposibilita comunicar y crear el potencial valor de la función y opera en contra de su eficacia. El autor nos alienta a que apliquemos los conocimientos provenientes del comportamiento humano en compliance. Las personas tienden a cambiar el comportamiento cuando reflexionan, y no porque se les hayan impuesto sanciones, que evocan resistencia. Para convencerlas, hay que hacerles sentir que se respetan sus valores y creencias. Para eso necesitamos ayuda. Las áreas de Marketing y de Relaciones Públicas pueden hacer un aporte al cambio cultural, reforzando el tone at the top y sacándonos el estigma negativo del señor o la señora “No”. Tal como ocurre en otros ámbitos, concluye el autor, los incentivos positivos funcionan mejor que los castigos.

Si logramos sobrevivir a la crisis, entonces habrá que capitalizarla como un refuerzo al sistema preventivo. Muchos cooperarán y darán la bienvenida a las nuevas prácticas, pero también habrá resistencia. Ya desde la Introducción el autor nos advierte que las actividades del área de compliance, en muchos aspectos, pueden resultar un desafío para la manera tradicional de hacer negocios. Esto, a su vez, puede originar fricciones con la conducción operativa de los negocios e, incluso, con la alta dirección.

Para algunos, compliance rima con freno a la acción, controles exigentes y reportes rígidos. Los nuevos procedimientos significarán menos flexibilidad, reducción de agresividad comercial y procesos más prolongados de toma de decisiones. Los gerentes comerciales más ambiciosos tendrán una excelente excusa para culparnos de sus dificultades, la perdida de negocios (y los bonos que vienen con ellos). No dejamos de poner palos en la rueda, dirán sin pelos en la lengua.

A no desanimarse. Tomemos el tiempo para probar cada nuevo procedimiento y examinar su cumplimiento y eficiencia comercial. Al hacerlo, podremos distinguir las críticas inmerecidas de las objeciones legítimas. En resumen, busquemos un equilibrio entre las necesidades comerciales y los objetivos de É&C.

La guía brindada en este libro no está destinada sólo a grandes empresas multinacionales (muchas de las cuales ya han establecido sistemas anticorrupción), sino también al vasto universo de pequeñas empresas que a menudo se encuentran al comienzo del viaje. Estas empresas están frecuentemente expuestas al fraude y la corrupción, pero se han hecho pocos esfuerzos para abordar las circunstancias subyacentes.

La nuestra es una tarea desalentadora. Pero, una vez recorridos los ocho pilares tan elocuentemente explicados por el autor, descubriremos que también es una tarea fascinante. Ayudar a los colaboradores a que adopten nuevas prácticas de integridad es uno de los desafíos más grandes y emocionantes para las organizaciones de hoy. Se puede decir con certeza que, con una buena cuota de perseverancia, podremos contribuir de manera decisiva en la generación de un ambiente de negocios con mayores niveles de integridad y transparencia.

Raúl R. Saccani

Presidente de la Comisión de Anticorrupción del CPCECABA

Socio de Deloitte S-LATAM

Buenos Aires, 29 de marzo de 2021

Los textos de este libro son, en su mayoría, ensayos sobre los aspectos más importantes de ética y compliance; buscan y analizan soluciones, o al menos paliativos, para los desafíos de los directorios y los compliance officers.

Son una colección editada y actualizada de comentarios que su autor ha publicado a lo largo de varios años en el newsletter del Centro de Gobernabilidad y Transparencia del IAE Business School en Argentina.

En los talleres del centro se discute sobre el estado de compliance en las empresas. Como es de esperar, las interpretaciones varían en muchos puntos. Sin embargo, en algunos temas, especialmente los desafíos para los compliance officers, hubo bastante coincidencia de visión. La más importante: compliance no está muerto (ni siquiera “casi”). Las actividades del área de compliance, en muchos aspectos, pueden resultar un desafío para la manera tradicional de hacer negocios. Esto, a su vez, puede originar fricciones con la conducción operativa de los negocios e, incluso, con la dirección.

Las regulaciones tienen un valor más allá de sí mismas

Las regulaciones no suelen ser bien recibidas. Los compliance officers se quejan de ellas: son demasiadas, son complejas, no son claras, son burocráticas y tienen una tendencia a crecer y a multiplicarse. Parece que todas las semanas hay una regulación nueva, actualizada o modificada. En las encuestas a compliance officers en todo el mundo, las regulaciones y su aplicación se nombran como una de sus mayores preocupaciones.

Las regulaciones no caen del cielo sin motivo, son la respuesta a problemas detectados. Quizás no sean siempre la mejor respuesta, pero sin un manifiesto problema de la vida empresaria, no existirían. Típicamente, llegan (tarde) para evitar repeticiones de comportamiento inadecuado. Así pasó con el FCPA, que fue la respuesta a una ola de casos de corrupción de empresas de los Estados Unidos en el extranjero, así fue con Sarbanes Oxley después del caso Enron y así es con todas.

Se puede dar vuelta a la queja de los compliance officers: las regulaciones protegen a las empresas de sus propias falencias. Sin comportamiento inadecuado del lado empresarial, no habría (tantas) regulaciones y los compliance officers no se tendrían que quejar de ellas.

La mala noticia es que las regulaciones están creciendo, invaden nuevas áreas, tal como la protección de datos, y se profundizan en otras como en la prevención de lavado de activos. Se vuelven más sofisticadas como en la lucha contra la corrupción, se actualizan y complejizan en su intento de ganar, algún día, su carrera contra las falencias en el comportamiento empresarial. Su mera administración ya es costosa, y su aplicación, a veces, difícil de implementar y controlar.

Probablemente, por esta razón, son vistas por las compañías como molestias con las cuales hay que cumplir, como con cualquier otra imposición de afuera: con el esfuerzo mínimo necesario.

Cumplir con las regulaciones es una buena idea, pero ver en ellas solo una molestia con la cual hay que cumplir mínimamente es perder una oportunidad1.

Las regulaciones son un indicio de “para dónde va el viaje”: dónde están los problemas de compliance hoy, en qué áreas están creciendo o modificándose y dónde el Estado va a poner mayor atención regulatoria. Si las empresas ven a las regulaciones como un incentivo para diseñar e implementar buenas prácticas, se adelantan a la próxima ronda de actualización de la regulación y se ahorran los problemas relacionados con correr detrás de ellas, a las apuradas y con costos adicionales.

No sentarse como último pasajero que apenas llega al último vagón del tren de las regulaciones, sino subirse a su locomotora confiere ventajas. No solo protege mejor los intereses de la organización y la aleja del borde con pérdidas de reputación y consecuencias legales y financieras de un incumplimiento. Permite mirar no solo al presente, sino hacia adelante, anticipándose al cumplimiento de lo que viene en temas de regulaciones. Significa menos riesgos y menos estrés para los compliance officers y el resto de la organización. Pero también, un paso importante para cumplir con el rol del compliance officer como trendspotter para la alta dirección, que le permite no solo ver qué formas de hacer su negocio ya perdieron aceptación, sino también cuáles parecen aceptables hoy, pero están en riesgo, y cuáles son las condiciones esenciales para que una forma de negocio sea considerada válida en un futuro próximo. Analizando varios escándalos corporativos en las últimas décadas, muchos de ellos tienen su causa en la falta de un trendspotter que haya advertido a la alta dirección sobre los cambios en el entorno y la seriedad, con la cual nuevas y más estrictas regulaciones serían aplicadas.

Es todo un tema en estos tiempos, cuando aparecen los (no tan) nuevos aspectos con renovado vigor, como el propósito de la empresa2 o la triple bottomline.

En resumen, ver las regulaciones de compliance como una oportunidad para prepararse para el futuro, y no solo como una molestia, tiene sus ventajas.

PILAR 1

MAPEO DE RIESGOS

Riesgos de ética & compliance

En su guía para el Foreign Corrupt Practices Act (FCPA), el Departamento de Justicia de los Estados Unidos dice que para desarrollar un programa de compliance efectivo hay que evaluar los riesgos, y que la Securities and Exchange Commission (SEC) y el Departamento de Justicia se fijarán en esta evaluación cuando la empresa tenga un incidente. Este aspecto se encuentra con toda claridad también en la Federal Sentencing Guidelines (FSGO) desde 2004.

Desde ahí, es estándar decir que todo programa de compliance debe basarse en una evaluación de los riesgos de ética y compliance (É&C) que enfrenta la empresa.

Suena lógico: los programas de É&C están ahí para prevenir actos contrarios a normas, regulaciones y valores de la organización (y mitigar sus consecuencias si, a pesar de todo, ocurren). Para organizar esta prevención, hay que saber cuáles son estos riesgos, dónde están, cuál es su importancia, cómo mitigarlos (o cuáles eventualmente asumir) y qué afectan si ocurren: aspectos financieros, organizacionales y/o la reputación.

Los riesgos de É&C son amenazas a la situación financiera, organizacional o reputacional por la violación de leyes, regulaciones, códigos de conducta o estándares y prácticas organizacionales. Esta es una, aunque hay miles de definiciones, pero, al final, son todas similares.

Tanto las FSGO como las leyes anticorrupción de Gran Bretaña y Brasil, la ley 27.401 de la responsabilidad penal de las personas jurídicas de la Argentina y las guías y manuales para estas leyes y regulaciones requieren de las empresas que se basen en los resultados de mapeos de riesgo para diseñar, implementar y modificar cada elemento de su programa de É&C.

Sin este punto de partida, sus programas no serán considerados “efectivos” y, por ende, no servirán como mitigador en caso de un “incidente”.

Estas leyes, regulaciones y guías no dicen mucho sobre cómo deben hacerse los mapeos de riesgos de É&C. Se limitan a aclarar que deben cubrir la naturaleza y seriedad de la posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y una priorización de estos riesgos.

No dan una guía sobre cómo estos mapeos de riesgo se deben hacer, pero ahora el Departamento de Justicia de Estados Unidos, en un cuestionario para fiscales que investigan empresas, les requiere preguntar por la metodología que la organización bajo investigación ha utilizado para elaborar el mapeo. En otras palabras, en el futuro, los reguladores y fiscales se van a interesar más por la profesionalidad con la cual se han realizado.

Los mapeos de riesgos de É&C tienen sentido más allá de los requerimientos regulatorios para poder acceder a menores multas. Son necesarios para que la organización entienda su exposición a riesgos, la probabilidad, las razones por las que se pueden materializar y qué impacto pueden tener. Son necesarios, también, para poder priorizarlos, así como para asignarles dueños y recursos para su mitigación. Son la forma de focalizar esfuerzos y recursos, en vez de repartirlos con una “regadera” de manera cara e ineficiente en toda la organización.

Para entender la situación, muchas empresas tendrán que mejorar sus procesos de evaluación de riesgos para abarcar en forma más sistémica su exposición a riesgos de É&C. Las regulaciones internacionales y locales se multiplican y las expectativas de los stakeholders importantes de las organizaciones también. La consecuencia son riesgos de É&C no solo mayores, sino también más complejos de reconocer y de mitigar. Los riesgos típicamente nombrados en este contexto son los que presentan las regulaciones, contactos con la administración pública (como cliente, proveedor o a través de la aduana), el sector industrial, el modelo de negocio y los socios en el negocio. Otros recomiendan acercarse al tema desde las siguientes categorías: riesgos de la compañía, riesgos del país, riesgos del sector, riesgos transaccionales y riegos de socios en el negocio/cadena de valor.

Muchos enfoques nacieron desde las FSGO y, en consecuencia, tienen un fuerte componente de riegos de corrupción. En la evaluación de riesgos de É&C, es importante no perder de vista una gran cantidad de riesgos no necesariamente vinculados a la corrupción, como la seguridad de datos, los riesgos medioambientales o la discriminación.

Hay muchas formas para conducir un proceso de mapeo y evaluación de riesgos de É&C. Es importante, sin embargo, tener en mente algunos conceptos básicos: la evaluación de riesgos nunca es un ejercicio único. Se recomienda repetirlo periódicamente en forma anual o bianual. Los riesgos cambian con el tiempo y nuevos riesgos aparecen.

La evaluación de riesgos de É&C es una herramienta vital para tomar decisiones sobre el diseño y la implementación de los diferentes elementos del programa de É&C. Más allá de este objetivo, el mapeo y el análisis de estos riesgos en sí contribuyen a aumentar la sensibilidad para estos temas en la organización y constituyen una importante parte del tone at the top.

El mapeo y análisis de los riesgos de É&C tiene algunos aspectos particularmente desafiantes para el proceso mismo: incluye valores y aspectos de ética, conceptos blandos de, a veces, difícil acceso para su reconocimiento, definición y evaluación. Típicos ejemplos son los riesgos basados en la cultura organizacional, como por ejemplo la presión por resultados, la alineación de valores e incentivos, la lealtad de los empleados, la justicia interna, el clima de transparencia, la posibilidad de formular críticas, entre otros.

Su inclusión es de suma importancia, porque son determinantes importantes a tener en cuenta para un programa de É&C efectivo.

La evaluación de riesgos de É&C no debe hacerse como en una suerte de silo del área de Ética & Compliance, ya que comprende a toda la organización transversalmente. Pero como típicamente es el único proceso que busca identificar riesgos legales, regulatorios y éticos/culturales, requiere un enfoque más focalizado que el más amplio del Enterprise Risk Management (ERM). El dueño es el chief compliance officer.

Los determinantes de los riesgos de É&C se encontrarán mejor utilizando grupos interdisciplinarios y con la intervención de individuos de todos los niveles de la organización. Los “operativos” ven muchos riesgos más de cerca y con mayor claridad que los ejecutivos altos. Además, con la activa intervención de los dueños de los riesgos, los resultados del proceso y las mitigaciones tendrán mayor credibilidad.