Mapeos de Riesgos de Ética & Compliance (É&C) son la base de cualquier Programa de Integridad efectivo. Los reguladores internacionales y también la legislación argentina los exigen. Son procesos complejos que incluyen el reconocimiento y la evaluación de riesgos no típicos en los mapeos de riesgos estratégicos y operativos, como los relacionados con la cultura, el gobierno corporativo, el estilo de liderazgo así cómo la organización y la efectividad del área de É & C. En consecuencia, a muchas empresas su ejecución resulta difícil y es muchas veces sub-óptima (para más información vean el comentario aquí.
Puede resultar que el mapeo de los riesgos en si es la parte más fácil. La parte más compleja es la implementación de los mitigantes y planes de crisis y sus responsables (“dueños”).
Hoy, en la pandemia del coronavirus podemos observar que muchas empresas globales tenían en sus mapeos de riesgo una pandemia como uno de los grandes riesgos. Pero compañías y gobiernos (con pocas excepciones como Korea del Sur o Taiwan) no se prepararon para el impacto.
Más allá de las dificultades de realizar un mapeo en sí, se suman cuestiones complejas a resolver mirando sus resultados: Un mapa de riesgos de É&C suele abarcar una gran variedad de temas provenientes de muchas áreas de la organización. Por más que el Compliance Officer es el responsable del proceso de mapeo de los riesgos de É&C, la responsabilidad por los riesgos es compartida a través de la organización.
Una vez identificados, evaluados y priorizados los riesgos de É&C se plantea la pregunta: ¿A quién(es) asignar el rol de dueño de cada uno de los riesgos, y por ende la responsabilidad por su mitigación y monitoreo?
Quizás los riesgos más grandes residan en las unidades de negocio. Pero según un estudio de PwC, muy pocas veces son las unidades de negocio los dueños de alguno de estos riesgos (ver aquí). Es discutible cuántos y cuáles de los riesgos de É&C sería adecuado asignar a las unidades de negocio y cuántos y cuáles a Compliance.
Una centralización de la responsabilidad por la mitigación de estos riesgos en el área de Compliance requiere su involucramiento en el día a día de los negocios y su posición a nivel estratégico en la organización (como lo piden los reguladores internacionales hace tiempo). Si además Compliance es un “gatekeeper”, por ejemplo con poder de veto en decisiones críticas como la aprobación de contratos, compras, contrataciones etc, sería consecuente darle la responsabilidad por la mitigación de los riesgos de É&C.
En cambio, los riesgos de É&C con dueños dispersos en la organización involucran más activamente a “la primera línea de defensa”, especialmente las unidades de negocio. Facilitan el “buy in” de la organización en los objetivos de la mitigación de estos riesgos y pueden contribuir a que el área de Compliance no sea vista como una función policial que impone límites “desde afuera” y sin comprensión por las necesidades del negocio sino como consultor y guía. Requiere de Compliance un mayor trabajo de coordinación y persuasión. Está en línea con el pensamiento de un área de Compliance que acompaña y guía a las unidades de negocio y otras áreas centrales como RRHH en sus decisiones, pero no es responsable de las decisiones tomadas por ellas.
Sea quien sea el dueño de estos riesgos, es importante que las unidades de negocio se involucren en los planes de contingencia (documentos que son de crucial ayuda en caso de que efectivamente un riesgo se materialice). Son ellas las que probablemente deban tomar algunas de las primeras medidas en forma urgente para evitar un riesgo o lidiar con el (y en ese punto es donde la situación puede recibir un balde de agua o de combustible).
La definición de quién es el dueño de los riesgos de É&C es crucial en la determinación de la estructura y forma de trabajo del área de Compliance.
Una centralización de la responsabilidad por la mitigación de la mayoría de los riesgos de É&C en el área de Compliance (como pasa en la mayoría de los casos) requiere de un área de Compliance con el poder y los recursos que le permiten cumplir con el rol de dueño de los riesgos. Una dispersión de este rol entre las unidades de negocio requiere de un área de Compliance con carácter de guía con capacidad de persuasión.
Lo que hay que evitar es la combinación al revés: La centralización de la responsabilidad por los riesgos de É&C en Compliance sin los recursos y el posicionamiento organizacional para poder ejercer esta responsabilidad efectivamente. Así su responsabilidad (y los mitigantes) quedan en los papeles.