línea de denuncias, entrevistas de salida, políticas y procesos, informes de auditorías y reportes de compliance. Se realizan entrevistas individuales, encuestas y talleres.
En un primer paso, se elabora un inventario de riesgos de É&C y se analizan sus determinantes. Puede servir de base un listado abarcativo de posibles riesgos para despertar la sensibilidad. Ejemplos son leyes y regulaciones: FCPA, Anti Trust, regulaciones de la industria, prevención de lavado de activos (PLA) y financiamiento del terrorismo (FT), seguridad de datos, riesgos en la cadena de valor, riesgos del programa de É&C, riesgos de compliance en recursos humanos, riesgos de la organización, riesgos del modelo de negocio, riesgos de conflictos de interés, etc.
Típicamente, surgen para cada riesgo varios determinantes. Los determinantes más importantes y, a la vez, más difíciles de encontrar y describir son los relacionados a la cultura: la presión por resultados, el tone at the top (y en el medio), la consistencia de los valores con los incentivos, la justicia interna, el clima de transparencia, así como el rol y la posición del compliance officer, las políticas y procesos, el entrenamiento y la comunicación.
Para priorizar los riesgos inventariados, hay que medir su probabilidad de ocurrencia y su impacto. Cómo hacerlo resulta a veces difícil. Una cuantificación no siempre es posible. Las estimaciones se pueden mostrar en escalas (bajo, medio, alto…).
Se otorgan prioridades a los riesgos de mayor impacto, o a los riesgos crecientes, y se asignan acciones de mitigación, responsables y planes de acción.
Una buena gestión de riesgos de É&C resulta en un programa de É&C calibrado a las áreas de mayor riesgo identificadas en este proceso, que es realimentado por la repetición periódica del proceso.
Riesgos en la cadena de valor
Los riesgos de terceros es uno de los temas que más preocupan a los compliance officers. Esto no sorprende, dado que el 90 % de las investigaciones en temas de corrupción involucran a un tercero: distribuidor, proveedor, consultor, etc.
En consecuencia, los reguladores exigen mayores esfuerzos para minimizarlos.
El Departamento de Justicia de los Estados Unidos incluyó el tema en su documento publicado en 2020 como una de las once claves para evaluar la efectividad de programas de compliance. La SEC demostró sus ventajas desistiendo en algunos casos de investigaciones contra empresas por tener un sólido programa de due diligence de sus proveedores o distribuidores. Está claro, la tercerización de procesos no conlleva a la tercerización de riesgos: estos se comparten a lo largo de la cadena de valor. No queda otra que invertir en los procesos de compliance de las terceras partes y su debido control. Esto incluye:
due diligence inicial y monitoreo continuo,
flowing down (de políticas de compliance a los subsiguientes niveles de proveedores o distribuidores),
entrenamiento y comunicación,
documentación y procesos,
derechos de auditoría y terminación.
Los pilares de un buen programa de compliance en la cadena de valor son conocidos y se ven reflejados en un sinnúmero de guías –un buen ejemplo es la guía de Trace3 o la del World Economic Forum (WEF4)–; en la práctica, sin embargo, aparecen muchos problemas. Estos problemas empiezan con dudas respecto a cómo realizar la evaluación de los riesgos que constituyen los terceros5, qué profundidad se debe dar a la due diligence en cada caso, cómo se la puede automatizar para ganar velocidad, bajar complejidad y costos, y cómo establecer un adecuado proceso de monitoreo periódico.
A estos problemas materiales se agregan problemas por la cantidad de relaciones cliente-proveedor que tiene cada empresa. Por un lado, es relativamente fácil imponerle a un proveedor o distribuidor un determinado proceso de compliance y monitorear su cumplimiento. Solo que las empresas no trabajan con un proveedor y un distribuidor, sino con cientos, si no miles.
La gran cantidad de relaciones con proveedores y distribuidores, y sobre todo la cantidad de niveles entre cliente final y proveedor original, complican la situación todavía más. Cada empresa suele tener su propio código con sus propias imposiciones a sus proveedores, que difiere parcialmente de las políticas de otros clientes o proveedores. Cada empresa es parte de varias cadenas de valor y, por ende, está expuesta a diferentes políticas de su mundo de clientes y proveedores. Parece una jungla de requerimientos que no siempre son posibles de cumplir (como el flow down a todas las demás empresas ad infinitum) y que causan costos enormes (administración, documentación, negociación de todas las obligaciones, controles, y defensa contra abusos, entre otros). Especialmente las empresas grandes juegan un juego de transferencia de riesgos: el que puede, el más fuerte, intenta transferir sus riesgos contractualmente al más débil. Cada uno intenta imponer su propio código para mantener el control sobre sus obligaciones y las de los demás, además de protegerse contra abusos de otros, que pueden estar escondidos en cláusulas legales del propio código y/o en los contratos mismos, como derechos de claw back, indemnizaciones, etc., en casos de incumplimientos, incluso, menores.
De cara a esta situación, y para evitar que simplemente se firmen todos los papeles que llegan, es recomendable desarrollar protocolos para el tratamiento de códigos de terceros: estándares de cláusulas (in)aceptables, procesos de escalación para cláusulas sensibles, procesos de solución vía negociación o la imposición del código propio. En este contexto, hay que definir quién se ocupa del tema en la organización, ya que dentro de las empresas se observan diferentes soluciones. Muchas veces, el compliance officer coordina un grupo con Legales, Riesgos y Recursos Humanos, que define estos lineamientos.
En resumen, los programas de compliance de las compañías, muchas veces muy sofisticados, tienen un flanco abierto: la relación con las empresas de su cadena de valor. Este flanco constituye un riesgo, que puede resultar grande, y que es más difícil de gestionar que los riesgos en la organización propia. Pero no queda otra, hay que empezar a construir a pesar de los problemas materiales y las complejidades que se presentan.
Compliance en la cadena de valor. ¿Hasta dónde?
Ante el siniestro que causó la muerte de más de 900 empleados en una fábrica de indumentaria en Daca, la capital de Bangladesh, que producía ropa para grandes marcas multinacionales, las reacciones por parte de las empresas con respecto a las precarias condiciones laborales que causaron la tragedia (instalaciones eléctricas en mal estado y medidas inexistentes contra incendios como, por ejemplo, salidas de emergencia) variaron de empresa a empresa.
Benetton revisó sus listados de productos elaborados en una de esas fábricas. GAP, Walmart y otras abrieron el debate sobre cómo mejorar a futuro las condiciones laborales y se reunieron con autoridades gubernamentales y ONG, mientras que otras consideraron retirarse del país, como fue finalmente el caso de Disney, que ordenó terminar con su producción allí y emitió nuevas regulaciones para todos sus proveedores a nivel mundial.
El espectro de reacciones que existieron en este caso muestra el difícil equilibrio que muchas veces las empresas que emplean a subcontratistas en países “complejos” e institucionalmente débiles intentan mantener cuando van detrás de la búsqueda de costos laborales lo más bajos posibles, evitando al mismo tiempo ser percibidas como violadoras de los derechos humanos.
La lista de casos como este es larga y no tiene final. Hay ejemplos quizás no tan extremos, pero igualmente perturbadores en todos los países.
El consumidor que compra ropa o pasajes aéreos a precios increíblemente bajos sabe o debe saber que alguien en algún lado paga por los costos bajos. Pero el consumidor tiende a mirar para otro lado hasta que alguien se lo dificulta mostrándole la cruel verdad en los titulares de diarios y medios sociales.
En este momento se responsabiliza a las empresas, muchas veces internacionales, al final de la cadena de valor, que son las marcas que venden los productos.