Mapeos de Riesgos de Ética & Compliance (É&C) son complejos. Algunas empresas directamente no las hacen, otras los hacen mal y otras con poca frecuencia.
Sorprende, porque todos los reguladores los requieren para considerar un Programa de Compliance “efectivo” y como un posible mitigante en el caso de una actuación illegal. Pero a la vez no es sorpresa porque hacerlos bien resulta difícil y muchas veces incómodo: Los determinates (las posibles causas de la materialización de un riesgo) se encuentran en áreas que no se suelen tener en la mira cuando se habla de riesgos. El más importante es la cultura organizacional, la presión por resultados, los sistemas de incentivos y el tone (y la conducta) at the top.
La consecuencia de mapeos de Riesgos de É&C inexistentes o mal hechos es que a menudo no reconocemos los riesgos de É&C que pueden convertirse en una amenaza para nuestros negocios y la reputación de la organización y sus personas. Los vemos recién cuando es (demasiado) tarde.
Esta situación se agrava cuando se trata de riesgos más nuevos. É&C se ocupa tradicionalmente del tema anticorrupción. Pero en los últimos años se han sumado otros temas que caen en la responsabilidad del Compliance Officer, que muchos de ellos mencionan como un dolor de cabeza importante, pero que en las discusiones profesionales rara vez aparecen. Discriminación laboral, de género y racial, acoso, privacidad y protección de datos son solo unos pocos ejemplos de temas ya no nuevos para É&C pero cuya importancia y potencial de riesgo están aumentando permanentemente. No son temas primordialmente legales y por eso para los Compliance Officers que en general son abogados de no tan fácil acceso. La tentación de no prestarle mucha atención o dejarlos a otros áreas en la empresa (como RRHH) parece grande.
Para facilitar el reconocimiento de tendencias que traen a nuevos riesgos y a la vez agregar solidez, a los a veces superficiales procesos de mapeo de riesgo de É&C tradicionales, hay algunas herramientas útiles. Las describió el Prof. Robert Kaplan en un caso que escribió para Harvard para un contexto diferente, pero que sirven también en É&C.
- Cuando se da, por ejemplo, un cambio normativo importante o se publica una infracción cibernética o un caso de acoso de una compañía, es un buen momento para que el Compliance Officer junto al Risk Officer convoquen a un taller en el que participan altos ejecutivos de todas las divisiones para discutir si esta situación se puede dar en la empresa propia. Es un ejercicio práctico sobre situaciones reales que ayuda a descubrir y reconocer los determinantes en el entorno propio. Es una suerte de mapeo de riesgo invertido, donde se comienza con una situación real que (por ahora) solo pasó a otro.
- Desarrollar una aplicación e instalarla en los teléfonos de los empleados de la empresa para que pudieran informar en tiempo real sobre por ejemplo sospechas de hackeos cibernéticos, de discriminación o problemas de seguridad o en la cadena de valor. Aunque puede salir mucho “ruido” estadístico sin importancia, algunos pueden anunciar un nuevo riesgo. En el área de É&C se los evalúa, buscando patrones y actuando como los "trend spotters" de la empresa. Reconocer tendencias en lo que la sociedad (y poco después los reguladores) aceptan y lo que no aceptan, más como comportamiento empresarial y modelo de negocio, es una de las actividades más importantes del Compliance Officer en la prevención de comportamiento no deseado. Además, es un buen ejemplo para el uso de datos que los reguladores piden a las empresas para la prevención y mejora contínua de sus Programas de É&C.
