El Compliance es un elemento esencial de un buen gobierno corporativo y una prioridad estratégica para la mayoría de las organizaciones globales. No debería sorprender que el actual clima económico, regulatorio, social y ético, junto con las crecientes expectativas de los stakeholders sobre la integridad de las empresas, impulsara el Compliance a la vanguardia de las prioridades corporativas. Un ejemplo de ello es la actualización de los delitos relacionados con la Responsabilidad Penal de las Personas Jurídicas que, en noviembre de 2018, incorporó como delitos la negociación incompatible; corrupción entre particulares; apropiación indebida; y administración desleal. Luego, en enero de 2019, se incorporó delitos relacionados con “medioambiente”, como contaminación de aguas; relativos a veda de productos; por pesca ilegal – fondo marino; y relativos a productos escasos.
Más que nunca, los directorios y los ejecutivos de la C-suite deben responder a la creciente presión y escrutinio de los stakeholders, para proporcionar evidencia tangible de que la empresa está abordando sus riesgos de cumplimiento de manera efectiva, tanto desde una perspectiva corporativa como individual.
El desafío de la gestión efectiva de la integridad y del cumplimiento
Las organizaciones ven la necesidad de establecer, en los procesos diarios de los negocios, la gestión de la integridad y del cumplimiento, a fin de evitar incumplimientos que expongan su reputación.
En términos generales, el concepto “Compliance” incluye requisitos obligatorios, como leyes y regulaciones, y voluntarios, como políticas, procedimientos, códigos de ética y obligaciones contractuales. Las empresas de hoy se centran en determinar si su infraestructura de cumplimiento (programas, estructuras, personas y procesos) es eficaz en prevenir y detectar incumplimientos; y si está efectivamente integrada en los procesos de negocios y en la toma de decisiones.
Muchas empresas abordan el cumplimiento de forma reactiva, respondiendo a eventos regulatorios, investigaciones criminales y litigios, en lugar de hacerlo de manera proactiva. Este enfoque puede resultar en un aumento de los costos, falta de credibilidad ante los empleados y stakeholders, responsabilidad penal y exposición pública negativa. Esto puede crear brechas e inconsistencias que socavan la efectividad para prevenir y detectar el incumplimiento. En la medida en que el entorno empresarial se vuelve más complejo (diferentes países, idiomas, culturas y líneas de negocios), muchos de los programas de cumplimiento de hoy no se gestionan para reflejar estas realidades.
Evaluando los principales riesgos
Las empresas que actúan con integridad tienen una ventaja comercial en sus operaciones diarias, ya que, a través del Compliance, controlan y gestionan el riesgo, investigan las denuncias de incumplimientos y miden su impacto financiero. En los últimos años, las organizaciones han enfocado esfuerzos significativos para diseñar su modelo de riesgo, control interno y la función de Compliance. Desde el punto de vista del cumplimiento, es fundamental la integración y la alineación con todos los riesgos relevantes para el negocio.
Las regulaciones clave y los riesgos de reputación que todas las empresas deberían considerar incluyen, además de las regulaciones específicas de cada industria: (i) Anticorrupción y Anti-Soborno; (ii) Leyes de Libre Competencia; (iii) Lavado de Dinero; (iv) Fraude; (v) Privacidad y Protección de Datos; y (vi) Comercio Exterior.
Un enfoque integrado
Un programa efectivo de integridad y cumplimiento debe estar diseñado para guiar al negocio hacia la toma de decisiones alineadas con la misión, visión y valores de la empresa, así como los principales riesgos y regulaciones que lo rigen, dando tranquilidad de que la organización opera con integridad. Sin embargo, no existe un único diseño de Compliance que se adapte a todas las empresas; este debe tener en consideración el perfil de riesgo, modelo de negocio, estructura organizacional, adherencia de los empleados, ejecutivos y directorio a la cultura del “Compliance”, entre otras consideraciones.
Compliance en un mundo digital
Todo programa de Compliance debe considerar que los negocios están siendo diseñados bajo conceptos de digital, siendo clave la incorporación de herramientas TI que permitan hacer frente a la velocidad de los negocios y mayor volumen de datos de distinta variedad, obtenidos a una mayor velocidad.
Se hace necesario que Compliance logre la capacidad de administrar en forma centralizada la taxonomía, políticas, procesos, riesgos, controles, activos y datos, a través de un repositorio compresivo que aborde los requisitos de cumplimiento, normativos y comerciales; complementado con la identificación de riesgos en el momento adecuado, recopilación de datos automatizada, evaluación de riesgos integrada e informes para procesos de riesgos, pruebas de controles y monitoreo.
En EY consideramos que el análisis de datos a través de herramientas especializadas es fundamental para la gestión de los riesgos de cumplimiento. El volumen de datos que generan las organizaciones aumenta progresivamente, y muchas herramientas de análisis están disponibles. Las técnicas analíticas pueden ayudar a aislar transacciones o tendencias que representan una potencial irregularidad o fraude.
Principios de gestión de riesgos
Nuestra área de Servicios Forenses y de Integridad recomienda pasos para la implementación de estos principios:
-Principio 1: Compromiso del directorio y de la alta gerencia (tone at the top). Es fundamental para el éxito de un programa de gestión de riesgos que a un miembro de la gerencia de nivel ejecutivo se le asigne la responsabilidad general de la gestión de riesgos y que informe al directorio periódicamente.
-Principio 2: Abordar la evaluación del riesgo mediante la identificación de esquemas específicos, la evaluación de su probabilidad, impacto y de la efectividad de los controles. La tolerancia al riesgo es una consideración importante; una organización debe invertir en la gestión de sus riesgos más críticos.
-Principio 3: Abordar las actividades de control. Los controles son específicos para cada riesgo y están diseñados para prevenir los incidentes o detectarlos rápidamente. Una organización debe utilizar una combinación de controles en diferentes puntos de un proceso en particular. Los controles preventivos son ampliamente comunicados, a diferencia de los controles detectivos que operan con mayor prudencia y, actualmente, se basan en herramientas tecnológicas mediante técnicas de Forensic Data Analytics. Actualmente, existe el problema de anulación de controles por parte de la administración. De acuerdo con un estudio de EY, “en casi todos los casos, en el pasado los fraudes catastróficos fueron perpetrados por funcionarios de la alta gerencia”.
-Principio 4: Es importante que una organización establezca protocolos de investigación y respuesta ante potenciales irregularidades y entregue respuestas oportunas, competentes y confidenciales, a las denuncias recibidas. Los protocolos de denuncias más sofisticados se controlan a través de un software que incorpora la clasificación de las denuncias, la gestión de casos, la obtención de pruebas, asistencia contable, legal y forense si es necesaria, la evaluación de la causa y fortalecimiento de controles.
-Principio 5: Será esencial abordar el monitoreo de las actividades del programa de Compliance para asegurar que cada uno de los cinco principios funcione, según lo diseñado e implementado. Las organizaciones deben establecer metas tanto en las operaciones como en los resultados del programa, considerando métricas del mercado, como el índice de casos descubiertos, informados y sancionados en otras industrias y organizaciones del mismo sector.
En resumen, implementar un modelo de Compliance que cumpla con las exigencias de negocio, regulatorias, normativas y se adapte a la era digital, requiere un compromiso del directorio, el liderazgo de la gerencia, una asignación adecuada de recursos, realizar una evaluación de riesgos y controles, establecer estándares éticos, contar con líneas de comunicación abiertas, capacitar al personal, responder adecuadamente a denuncias, y monitorear proactivamente, a través de herramientas analíticas.