En su Guía para el FCPA, el Departamento de Justicia de los EEUU dice que para desarrollar un programa de compliance efectivo hay que evaluar los riesgos, y que la SEC y el Departamento de Justicia se fijarán en esta evaluación cuando la empresa tenga un incidente. Este aspecto se encuentra con toda claridad también en la Federal Sentencing Guidelines (FSGO), desde 2004.
Desde ahí el standard decir que todo programa de compliance debe basarse en una evaluación de los riesgos de É&C que enfrenta la empresa.
Suena lógico: Programas de Ética & Compliance están ahí para prevenir actos contrarios a normas, regulaciones y los valores de la organización (y mitigar sus consecuencias si a pesar de todo ocurren). Para organizar esta prevención hay que saber cuáles son estos riesgos, dónde están, cuál es su importancia, cómo mitigarlos (o cuáles eventualmente asumir) y qué afectan si ocurren: aspectos financieros, organizacionales y/o la reputación.
Para entender la situación muchas empresas tendrán que mejorar su procesos de evaluación de riesgos para abarcar en forma más sistémica su exposición a riesgos de É&C. Regulaciones internacionales y locales se multiplican y las expectativas de los stakeholders importantes de las organizaciones también. La consecuencia son riesgos de É&C no solo mayores, sino también más complejos de reconocer y de mitigar.
Los riesgos típicamente nombrados en este contexto son los que presentan las regulaciones, contactos con la administración pública (como cliente, proveedor o a través de la aduana) el sector industrial, el modelo de negocio y los socios en el negocio. Otros recomiendan acercarse al tema desde las siguientes categorías: riesgos de la compañía, riesgos del país, riesgos del sector, riesgos transaccionales y riegos de socios en el negocio/cadena de valor.
Muchos enfoques nacieron desde las FSGO y en consecuencia tienen un fuerte componente de riegos de corrupción. En la evaluación de riesgos de É&C es importante no perder de vista una gran cantidad de riesgos no necesariamente vinculados a corrupción como seguridad de datos, medioambientales o la discriminación.
Hay muchas formas para conducir un proceso de mapeo y evaluación de riesgos de É&C. Es importante sin embargo, tener en mente algunos conceptos básicos: la evaluación de riesgos nunca es un ejercicio único. Se recomienda repetirlo periódicamente en forma anual o bi-anual. Los riesgos cambian con el tiempo y nuevos riesgos aparecen.
La evaluación de riesgos de É&C es una herramienta vital para hacer decisiones sobre el diseño y la implementación de los diferentes elementos del programa de É&C. Más allá de este objetivo, el mapeo y el análisis de estos riesgos en sí, contribuyen a aumentar la sensibilidad para estos temas en la organización y constituyen una importante parte del Tone at the Top.
El mapeo y análisis de los riesgos de É&C tiene algunos aspectos particularmente desafiantes para el proceso mismo: incluye valores y ética, conceptos blandos de a veces difícil acceso para su reconocimiento, definición y evaluación. Su inclusión es de suma importancia, no solo porque es requerida por los FSGO sino porque son los determinantes para un programa de É&C efectivo. Algo similar vale para los riesgos basados en la cultura organizacional, como p.ej. presión por resultados, alineación de valores e incentivos, lealtad de empleados, justicia interna, clima de transparencia, posibilidad de formular críticas, etc.
La evaluación de riesgos de É&C no constituye un silo. Pero cómo típicamente es el único proceso que busca identificar riesgos legales y regulatorios y éticos/culturales, requiere un enfoque más focalizado que el más amplio del ERM. El dueño es el Chief Compliance Officer.
Los determinantes de los riesgos de É&C se encontrarán mejor utilizando grupos interdisciplinarios y con la intervención de individuos de todos los niveles de la organización. Los “operativos” ven muchos riesgos más de cerca y con mayor claridad que los ejecutivos altos. Además, con la activa intervención de los dueños de los riesgos los resultados del proceso y las mitigaciones tendrán mayor credibilidad.
El análisis de datos como estadísticas de la línea de denuncia, reportes de compliance, acumulaciones de ciertas transacciones sospechosas, tendencias y menciones en medios sociales, etc., proveen una buena base para el mapeo de riesgos.
Los resultados deben integrarse en el mapeo y análisis de riesgos de la organización.
Al final debe haber resultados prácticos: visibilidad de los determinantes de riesgo, la probabilidad de materialización de los riesgos y la gravedad de los impactos. Ayuda a priorizar los riesgos, designar dueños y asignar recursos para su mitigación.
Para que los resultados sean prácticos, deben ser operacionables, es decir, permitir tomar decisiones sobre el programa de É&C, cómo nuevas políticas o la adecuación de políticas existentes, fijación de objetivos de educación y entrenamiento, su contenido, periodicidad y formatos y audiencias específicas; adecuación, ampliación o eliminación de monitoreos y controles, formas de mitigación de los riesgos culturales y éticos.
En resumen: un proceso complejo que conviene realizar con un objetivo claro en mente: poder operativizar sus resultados en los elementos del programa de É&C con foco en los determinantes culturales que suelen ser los más poderosos.