El término “Governance, Risk & Compliance” (GRC) existe hace más de una década. Pero recién en los últimos años se observa que forman una unidad más allá de ciertas aspiraciones y algún intento organizacional. Faltaba la urgencia de contar con un enfoque interrelacionado y los responsables de las tres áreas continuaban sus actividades en los silos de antes. Esto está cambiando y los cambios se están acelerando. Las compañías con sus modelos de negocio evolucionados y muchas veces digitalizados se ven expuestas a riesgos nuevos con clientes y a reguladores más activos que requieren de sistemas de gobernanza más ágiles. Así se plantean desafíos que involucran las tres áreas y requieren una respuesta abarcativa sin fisuras.
El “Cómo hacemos Negocios” es tanto (o más) importante como el “Qué“ hacemos. En un mundo más transparente y más directo, dónde se sabe todo lo que pasa y además todo se puede viralizar en las redes sociales, el comportamiento de la compañía es más importante que nunca. Ventajas competitivas basadas en productos y servicios son más difíciles de sostener: Siempre va a haber algún competidor en el mundo que las pueda copiar o incluso mejorar.
Ventajas competitivas basadas en comportamiento, en cambio, son más sostenibles, pero también más difíciles de construir y mantener. Cómo cumplimos con nuestra promesa de marca, cómo cumplimos con nuestros compromisos contractuales, y ahora también cómo cumplimos con nuestras declamaciones en el Código de Conducta etc se basan en la cultura de la organización, en cómo los individuos actúan y reaccionan en situaciones de incertidumbre, son más difíciles de copiar. (Dov Seidman escribió todo un libro sobre el tema: How: Why HOW we do anything means everything….in Business (and in Life)). Especialmente el Cómo las compañías hacen negocio está expuesto al permanente escrutinio de la opinión de los consumidores y del público en general.
De esta forma, los consumidores y el público en general se convierten en auditores de alta velocidad, quienes le marcan la cancha a la compañía las 24 horas y los 7 días de la semana. Sus veredictos y las consecuencias se sienten en forma inmediata y ni siquiera se basan necesariamente en la realidad. Acertada o no, la percepción de un cliente, publicada en una plataforma digital alcanza para que la reputación de una organización, la confianza en una marca sufre gravemente a través de una queja que se viralizó. Ejemplos abundan. Llamadas al boycot de una marca de anteojos de sol en el Peru porque una empleada publicó en una red social un trato discriminatorio con una respuesta insuficiente de la compañía, o las llamadas al boycot del movimiento Fridays for Future a una compañía por su participación en un proyecto de generación de carbón en Australia son solo dos recientes.
Y al “Cómo hacemos Negocios” que mira el área de Compliance tradicionalmente se suman además anticorrupción y anti trust, temas que siempre existían pero quedaban en RRHH, como antidiscriminación, acoso en todas sus formas, igualdad de género, diversidad y protección de datos y de privacidad de la organización, sus integrantes y stakeholders externos.
Los Reguladores reaccionan. Para no quedarse atrás de la evolución requieren de las empresas no solo cumplir con normas explícitas y Programas de Compliance que determinan qué no se puede hacer. Exigen una cultura ética que fomenta la toma de buenas decisiones en situaciones de incertidumbre. El tiempo de la efectividad de Programas de Compliance en los papeles se acabó definitivamente. (Tanto la Guía del Departamento de Justicia de los EEUU de Abril 2019) (Ver Aquí, Aquí y Aquí) como también la Ley de Responsabilidad Penal de las Personas Juridicas, L 27.401 y los lineamientos para Programas de Integridad de la Oficina Anticorrupción de la Argentina (Ver acá) son muy claros al respecto.
La necesidad de una mirada unificada desde GRC tiene mucho que ver con el cambio de velocidad. La relación entre causa y efecto no toma meses o semanas, se produce en minutos o días. Además, tanto los riesgos como sus efectos sobre la organización se amplían y modifican. Para no quedarse corriendo la evolución de atrás, siempre llegando tarde, las organizaciones necesitan agilizar sus modelos de Gobierno e interrelacionarlos con Risk y Compliance. Ninguna de las tres áreas está en condiciones de realizar un trabajo de prevención eficaz solo y en forma independiente. Todo comienza con una cultura corporativa entendida por todos los niveles en la organización, que entienden sus responsabilidades de proteger los activos más importantes de la compañía: la confianza y reputación de sus clientes. Así se pueden construir y mantener ventajas competitivas importantes. Los mapeos de riesgo de Ética & Compliance son la base del trabajo del área de Compliance. No lo puede hacer el área de Riesgo, ni Compliance ni la Alta Dirección solos. Es necesariamente un trabajo compartido que debe abarcar sobre todo la cultura organizacional como una de los determinantes más importantes (ver acá los comentarios sobre cómo realizar un mapeo de riesgos de É&C , acá y acá). Otros temas a mirar en este contexto son la estructura organizacional, quién y cómo se redactan las políticas y la rapidez y agilidad de los sistemas de reporting para asegurar que la Alta Dirección está informada a tiempo y en condiciones de actuar y reaccionar en tiempo y forma. Para asegurar un trabajo coordinado y rápido, la unificación organizacional de las tres áreas de Governance, Risk & Compliance debe considerarse seriamente.
