leyes, regulaciones y guías no dicen mucho sobre cómo deben hacerse los mapeos de riesgos de É&C. Se limitan a aclarar que deben cubrir la naturaleza y seriedad de la posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y una priorización de estos riesgos.
No dan una guía sobre cómo estos mapeos de riesgo se deben hacer, pero ahora el Departamento de Justicia de Estados Unidos, en un cuestionario para fiscales que investigan empresas, les requiere preguntar por la metodología que la organización bajo investigación ha utilizado para elaborar el mapeo. En otras palabras, en el futuro, los reguladores y fiscales se van a interesar más por la profesionalidad con la cual se han realizado.
Los mapeos de riesgos de É&C tienen sentido más allá de los requerimientos regulatorios para poder acceder a menores multas. Son necesarios para que la organización entienda su exposición a riesgos, la probabilidad, las razones por las que se pueden materializar y qué impacto pueden tener. Son necesarios, también, para poder priorizarlos, así como para asignarles dueños y recursos para su mitigación. Son la forma de focalizar esfuerzos y recursos, en vez de repartirlos con una “regadera” de manera cara e ineficiente en toda la organización.
Para entender la situación, muchas empresas tendrán que mejorar sus procesos de evaluación de riesgos para abarcar en forma más sistémica su exposición a riesgos de É&C. Las regulaciones internacionales y locales se multiplican y las expectativas de los stakeholders importantes de las organizaciones también. La consecuencia son riesgos de É&C no solo mayores, sino también más complejos de reconocer y de mitigar. Los riesgos típicamente nombrados en este contexto son los que presentan las regulaciones, contactos con la administración pública (como cliente, proveedor o a través de la aduana), el sector industrial, el modelo de negocio y los socios en el negocio. Otros recomiendan acercarse al tema desde las siguientes categorías: riesgos de la compañía, riesgos del país, riesgos del sector, riesgos transaccionales y riegos de socios en el negocio/cadena de valor.
Muchos enfoques nacieron desde las FSGO y, en consecuencia, tienen un fuerte componente de riegos de corrupción. En la evaluación de riesgos de É&C, es importante no perder de vista una gran cantidad de riesgos no necesariamente vinculados a la corrupción, como la seguridad de datos, los riesgos medioambientales o la discriminación.
Hay muchas formas para conducir un proceso de mapeo y evaluación de riesgos de É&C. Es importante, sin embargo, tener en mente algunos conceptos básicos: la evaluación de riesgos nunca es un ejercicio único. Se recomienda repetirlo periódicamente en forma anual o bianual. Los riesgos cambian con el tiempo y nuevos riesgos aparecen.
La evaluación de riesgos de É&C es una herramienta vital para tomar decisiones sobre el diseño y la implementación de los diferentes elementos del programa de É&C. Más allá de este objetivo, el mapeo y el análisis de estos riesgos en sí contribuyen a aumentar la sensibilidad para estos temas en la organización y constituyen una importante parte del tone at the top.
El mapeo y análisis de los riesgos de É&C tiene algunos aspectos particularmente desafiantes para el proceso mismo: incluye valores y aspectos de ética, conceptos blandos de, a veces, difícil acceso para su reconocimiento, definición y evaluación. Típicos ejemplos son los riesgos basados en la cultura organizacional, como por ejemplo la presión por resultados, la alineación de valores e incentivos, la lealtad de los empleados, la justicia interna, el clima de transparencia, la posibilidad de formular críticas, entre otros.
Su inclusión es de suma importancia, porque son determinantes importantes a tener en cuenta para un programa de É&C efectivo.
La evaluación de riesgos de É&C no debe hacerse como en una suerte de silo del área de Ética & Compliance, ya que comprende a toda la organización transversalmente. Pero como típicamente es el único proceso que busca identificar riesgos legales, regulatorios y éticos/culturales, requiere un enfoque más focalizado que el más amplio del Enterprise Risk Management (ERM). El dueño es el chief compliance officer.
Los determinantes de los riesgos de É&C se encontrarán mejor utilizando grupos interdisciplinarios y con la intervención de individuos de todos los niveles de la organización. Los “operativos” ven muchos riesgos más de cerca y con mayor claridad que los ejecutivos altos. Además, con la activa intervención de los dueños de los riesgos, los resultados del proceso y las mitigaciones tendrán mayor credibilidad.
El análisis de datos como estadísticas de la línea de denuncia, reportes de compliance, acumulaciones de ciertas transacciones sospechosas, tendencias y menciones en medios sociales, etc., proveen una buena base para el mapeo de riesgos.
Los resultados deben integrarse en el mapeo y análisis de riesgos de la organización.
Al final debe haber resultados prácticos: visibilidad de los determinantes de riesgo, la probabilidad de materialización de los riesgos y la gravedad de los impactos. Esto ayuda a priorizar los riesgos, designar dueños y asignar recursos para su mitigación.
Para que los resultados sean prácticos, deben ser operacionables, es decir, permitir tomar decisiones sobre el programa de É&C, como nuevas políticas o la adecuación de políticas existentes, fijación de objetivos de educación y entrenamiento, su contenido, periodicidad y formatos y audiencias específicas, adecuación, ampliación o eliminación de monitoreos y controles, formas de mitigación de los riesgos culturales y éticos.
En resumen, un proceso complejo que conviene realizar con un objetivo claro en mente: poder operativizar sus resultados en los elementos del programa de É&C con foco en los determinantes culturales, que suelen ser los más poderosos.
En un taller del Centro de Gobernabilidad y Transparencia del IAE, el 30 de marzo de 2017, realizamos una encuesta informal sobre el uso de mapeos de riesgo de É&C en las empresas. Participaron casi cien compliance officers y abogados de empresas internacionales y locales grandes. No es una encuesta que permita sacar conclusiones estadísticamente válidas, pero demuestra los grandes rasgos de la situación actual. Considerando la importancia regulatoria y organizacional de contar con un mapeo de riesgo de É&C bien diseñado, parece existir espacio para mejoras: el 74 % de las empresas presentes dijeron contar con una evaluación de riesgos de É&C y el 68 %, algo menos, dijeron basarla en un mapeo de riesgo formal.
Es decir, más del 25 % de las empresas grandes en el país no contaba con una evaluación de sus riesgos de É&C y casi el 30 % no realizaba mapeos de estos riesgos. Desde entonces estos porcentajes han cambiado. Sin embargo, hay muchas dudas respecto a la calidad de los mapeos de riesgos de ética & compliance que se realizan. Suelen limitarse a algunos riesgos de corrupción.. Solo algo más de la mitad de las empresas (el 55 %) manifestaba incluir en su mapeo de riesgo a los niveles operativos, que son precisamente los que conocen los riesgos mejor que nadie y deben necesariamente formar parte de la elaboración del mapeo. El dato quizás más preocupante es que solo en el 27 % de los casos decía que la evaluación de riesgos incluye riesgos de la cultura organizacional, que es el área donde residen la mayoría de los determinantes de riesgo de É&C, como la alta presión por resultados a corto plazo, el liderazgo autoritario, las inconsistencias entre valores declamados y sistemas de incentivos, entre otros.
Se plantea la pregunta de en base a qué estas empresas diseñan sus programas de É&C
Un minimanual con los puntos esenciales a observar al realizar un mapeo de riesgos de É&C y la definición de los mitigadores tendría los siguientes títulos y temas:
Cada mapeo es diferente, pero todos tienen algo en común: la metodología. El dueño del proceso es el compliance officer.
Hay que trabajar con un grupo multidisciplinario y multijerárquico. Es de importancia que el/los grupo/s de trabajo incluya/n no solo las diferentes áreas directa e indirectamente expuestas a riesgos de É&C, sino también a los diferentes niveles, empezando con la alta dirección y llegando hasta los niveles operativos, que a menudo ven con mayor claridad ciertos riesgos que los niveles gerenciales no. Además, un grupo diverso sufre