Los reguladores exigen un mapeo de riesgo de É&C para considerar un Programa de É&C como “efectivo” (ver DoJ, la Guía SEC, la Ley 27401 y lineamientos). En otras palabras: para que la implementación de un Programa de É&C pueda servir como mitigante en caso de un incidente de compliance, debe basarse en un mapeo de riesgos de É&C.
Las empresas lo saben y comienzan a realizar estos mapeos. Comentarios previos, dedicados al tema se encuentran acá y acá.
Los reguladores (por ahora) no prescriben como se deben realizar, en los EEUU sin embargo piden que tengan en cuenta la naturaleza y seriedad de una posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y su priorización. Además ya preguntan con qué metodología se ha hecho.
Cumplir con la exigencia de los reguladores no es el único beneficio de un buen mapeo de riesgos de É&C:
- Sirve para entender la exposición a riesgos, la probabilidad y las razones de ocurrencia y su impacto. Es por ende la base para el diseño del Programa de É&C.
- Permite priorizar esfuerzos de mitigación de riesgos y designar los “dueños” para su gestión.
- Permite aplicar los recursos de É&C dónde más se necesitan en vez de dispersarlos por toda la organización equitativamente
- Permite focalizar los entrenamientos y la comunicación en temas y en áreas de la organización
- Indica qué comportamiento/resultados incentivar
- Es una excelente demostración de la Alta Dirección de que É&C es un tema al cual se le da importancia
- Sensibiliza a toda la organización por el tema de É&C
- Probablemente aparezcan riesgos desconocidos que de otra manera no se hubieran mitigado
La pregunta es cómo hacer este mapeo bien. Hay muchas maneras, pero resulta dificil encontrar empresas que lo hayan hecho realmente bien. Esta dificultad tiene que ver con que los riesgos de É&C y sobre todo sus determinantes no coinciden con los riesgos típicos, especialmente los financieros. No solo son dificiles de cuantificar y medir, muchos de sus determinantes (las circunstancias que pueden ser causantes de la materialización de un riesgo) son parte de la cultura y del estilo de liderazgo de la organización. Mientras la sistemática y la formalización son idénticos con los mapeos y mitigaciones de p.ej. riesgos estratégicos u operacionales, cuesta la identificación y la evaluación de muchos de los determinantes que normalmente no forman parte del abanico de aspectos tenidos en cuenta en la evaluación de riesgos.
Un mini-manual con los puntos esenciales a observar al realizar un mapeo de riesgos de É&C y la definición de los mitigantes tendría los siguientes títulos y temas:
- Cada Mapeo es diferente. Pero todos tienen algo en común: la metodología. El dueño del proceso es el Compliance Officer.
- Trabajar con un grupo multidisciplianrio y multijerárquico. Es de importancia que el (o los) grupos de trabajo incluyan no solo las diferentes áreas directa e indirectamente expuestas a riesgos de É&C, sino también a los diferentes niveles, empezando con la Alta Dirección hasta los niveles operativos, que a menudo ven con mayor claridad ciertos riesgos que los niveles gerenciales no. Además, un grupo diverso sufre menos de ceguera motivada.
- Se utilizan los datos y demás información disponible de la línea de denuncias, entrevistas de salida, políticas y procesos, informes de auditorias y reportes de Compliance. Se realizan entrevistas individuales, encuestas y talleres.
- En un primer paso se elabora un inventario de riesgos de É&C y se analizan sus determinantes. Puede servir de base un listado abarcativo de posibles riesgos para despertar la sensibilidad. Ejemplos son Leyes & Regulaciones: FCPA; Anti Trust, regulaciones de la industria; Prevención de Lavado de Activos (PLA) y Financiamiento del Terrorismo (FT); Seguridad de datos; riesgos en la Cadena de Valor, riesgos del Programa de É&C; riesgos de Compliance en RRHH; riesgos de la Organización; riesgos del Modelo de Negocio; riesgos de Conflictos de Interés, etc.
- Típicamente surgen para cada riesgo varios determinantes. Los determinantes más importantes y a la vez más difíciles de encontrar y describir son los relacionados a la cultura: La presión por resultados; el Tone at the Top (y en el Medio); la consistencia de los valores con los incentivos; la justicia interna; el clima de transparencia así como el rol y la posición del Compliance Officer, las políticas y procesos, el entrenamiento y la comunicación.
- Para priorizar los riesgos inventariados hay que medir su probabilidad de ocurrencia y su impacto. Cómo hacerlo resulta a veces difícil. Una cuantificación no siempre es posible. Estimaciones se pueden mostrar en escalas (bajo/ medio/ alto…).
- Se otorgan prioridades a los riesgos de mayor impacto, o a los riesgos crecientes y se asignan acciones de mitigación, responsables y planes de acción.
Una buena gestión de riesgos de É&C resulta en un Programa de É&C calibrado a las áreas de mayor riesgo identificados en este proceso y realimentado por la repetición periódica del proceso.
