Riesgos de E&C son amenazas a la situación financiera, organizacional o reputacional por la violación de leyes, regulaciones, códigos de conducta o estándares prácticas organizacionales. Esta es una, pero hay miles de definiciones que al final son todas similares.
Tanto las Federal Sentencing Guidelines (FSGO) como las leyes anti-corrupción de Gran Bretaña y Brasil, el proyecto de Ley Anti-Corrupción Argentina y las guías y manuales para estas leyes y regulaciones, requieren de las empresas que se basen en los resultados de mapeos de riesgo para diseñar, implementar y modificar cada elemento de su programa de Ética & Compliance.
Sin este punto de partida, sus programas no serán considerados “efectivos” y por ende no sirven como mitigante en caso de un “incidente”.
Estas leyes, regulaciones y guías no dicen mucho sobre cómo deben hacerse los mapeos de riesgos de É & C. Se limitan a aclarar que deben cubrir la naturaleza y seriedad de la posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y una priorización de estos riesgos.
No dan una guía sobre cómo estos mapeos de riesgo se deben hacer, pero ahora el Departamento de Justicia de EEUU en un cuestionario para fiscales que investigan empresas, les requiere preguntar por la metodología que la organización bajo investigación ha utilizado para elaborar el mapeo. En otras palabras: en el futuro los reguladores y fiscales se van a interesar más por la profesionalidad con la cual se han realizado.
Mapeos de riesgos de E &C tienen sentido más allá de los requerimientos regulatorios para poder acceder a menores multas. Son necesario para que la organización entienda su exposición a riesgos, la probabilidad, y las razones por las que se pueden materializar y qué impacto pueden tener. Son necesarios para poder priorizarlos, así como para asignarles dueños y recursos para su mitigación. Son la forma de focalizar esfuerzos y recursos y no repartirlos con la regadera de manera cara e ineficiente en toda la organización.
Son una excelente oportunidad para demostrar el Tone at the Top, ocupándose de buscar, transparentar y gestionar los riesgos que la organización enfrenta en temas de ética y compliance.
En el taller del Centro de Gobernabilidad y Transparencia del IAE el 30 de Marzo 2017 realizamos una encuesta informal sobre el uso de mapeos de riesgo de E & C en las empresas. Participaron casi 100 Compliance Officers y Abogados de empresas internacionales y locales grandes. No es una encuesta que permita sacar conclusiones estadísticamente válidas pero demuestra los grandes rasgos de la situación actual. Considerando la importancia regulatoria y organizacional de contar con un mapeo de riesgo de É & C bien diseñado, parece existir espacio para mejoras:
74% de las empresas presentes dijeron contar con una evaluación de riesgos de É & C y algo menos (68%) dijo basarla en un mapeo de riesgo formal.
Es decir, más del 25% de las empresas grandes en el país, no cuentan con una evaluación de sus riesgos de É & C y casi el 30% no realiza mapeos de estos riesgos. Se plantea la pregunta en base a que estas empresas diseñan sus programas de É & C. Sólo algo más de la mitad de las empresas (55%) manifiesta incluir en su mapeo de riesgo a niveles operativos, que son precisamente los que conocen los riesgos mejor que nadie y deben necesariamente formar parte de la elaboración del mapeo. El dato quizás más preocupante, es que solo en el 27% de los casos dicen que la evaluación de riesgos incluye riesgos de la cultura organizacional, que es el área donde residen la mayoría de los determinantes de riesgo de É & C, como alta presión por resultados a corto plazo, liderazgo autoritario, inconsistencias entre valores declamados y sistemas de incentivos etc.
Hay mucho por hacer.
Encuentran más detalles sobre cómo hacer un mapeo de riesgo, en las presentaciones sobre el tema en nuestra página web aquí en la solapa del taller del 30 de Marzo 2017.
