Mapeos de Riesgos de Ética & Compliance (É&C) son la base de cualquier Programa de Integridad efectivo. Los reguladores internacionales y también la legislación argentina los exigen. Son procesos complejos que incluyen el reconocimiento y la evaluación de riesgos no típicos en los mapeos de riesgos estratégicos y operativos, como los relacionados con la cultura, el gobierno corporativo, así cómo la organización y efectividad del área de É & C. En consecuencia, su ejecución resulta difícil y es muchas veces sub-óptima (para más información vean el comentario y aquí).
Más allá de las dificultades de realizar un mapeo en sí, se suman cuestiones complejas a resolver mirando sus resultados: Un mapa de riesgos de É&C suele abarcar una gran variedad de temas provenientes de muchas áreas de la organización. Para poder adjudicar los recursos para la mitigación a los riesgos más importantes, hay que priorizarlos. ¿Quién lo hace? La respuesta a esta pregunta importa: la relevancia y los recursos que se le da a su mitigación depende de la prioridad otorgada y ésta depende de la evaluación por su responsable. Por más que el Compliance Officer es el responsable del proceso, la responsabilidad por los riesgos es compartida a través de la organización. Además, el mismo programa de Compliance y la organización de Compliance deben evaluarse como áreas de riesgo. Parece aconsejable que la priorización esté a cargo de una comisión integrada por los responsables de Riesgo, Compliance, Legales y Auditoría Interna.
Una vez identificados, evaluados y priorizados los riesgos de É&C se plantea la pregunta: ¿A quién(es) asignar el rol de dueño de los riesgos, y por ende la responsabilidad por su mitigación y monitoreo?
Quizás los riegos más grandes residan en las unidades de negocio. Pero según un estudio de PwC, muy pocas veces son las unidades de negocio los dueños de alguno de estos riesgos (ver aquí). Es discutible cuántos y cuáles de los riesgos de É&C sería adecuado asignar a las unidades de negocio. Al menos aquellos riesgos muy relacionados a su actividad deberían caer en su responsabilidad de gestión (con el apoyo y monitoreo del área de Compliance).
Una centralización de la responsabilidad por la mitigación de estos riesgos en el área de Compliance requiere su mayor involucramiento en el día a día de los negocios y por ende un mayor peso en la organización. La contracara sin embargo puede ser que las unidades prefieran no consultar al área de Compliance para evitar las incomodidades relacionadas o al menos percibidas.
Riesgos de É & C con dueños dispersos en la organización involucran más activamente a “la primera línea de defensa”, especialmente las unidades de negocio. Facilita el “buy in” de la organización en los objetivos de la mitigación de estos riesgos y puede contribuir a que el área de Compliance no sea vista como una función policial que impone límites “desde afuera” y sin comprensión por las necesidades del negocio sino como consultor y guía. Requiere de Compliance un mayor trabajo de coordinación y persuasión. Está en línea con el pensamiento de un área de Compliance que acompaña y guía a las unidades de negocio y otras áreas centrales como RRHH en sus decisiones pero no es responsable de las decisiones tomadas por ellas.
Dentro del rol de dueños del riesgo, es importante que las unidades de negocio también se involucren en los planes de contingencia (documentos que son de crucial ayuda en caso de que efectivamente un riesgo se materialice); ya que son ellas las que probablemente deban tomar algunas de las primeras medidas en forma urgente/inmediata (y en ese punto es donde la situación puede recibir un balde de agua… o de combustible).
La definición de quién es el dueño de los riegos de É & C es crucial en la determinación de la estructura y forma de trabajo del área de Compliance y se debe reflejar en la job description del Compliance Officer. Una centralización de la mayoría de los riesgos de É&C en el área de Compliance (como pasa en la mayoría de los casos) lleva a que Compliance adquiera una posición más activa en el día a día de los negocios de la compañía y requiere mayores recursos, tanto de personal calificado como de recursos financieros. Lo que habrá que evitar es la combinación al revés: Centralización de la responsabilidad por los riesgos de É&C sin los recursos necesarios para poder ejercer esta función efectivamente.