En nuestra encuesta [i] realizada en Marzo 2021 con la Red de Compliance del Centro de Gobernabilidad & Transparencia preguntamos por tres aspectos fundamentales del estado de situación del Área de Ética &Compliance (É&C) en las organizaciones:
- ¿A quién reporta el Compliance Officer?
- ¿Realizan, y en su caso cómo, mapeos de riesgos de É&C?
- ¿Cuentan con más o con menos recursos que el año pasado?
Los resultados son interesantes y, en algunos casos, sorprendentes:
Las líneas de reporte del Compliance Officer evolucionaron. Ya solo muy pocos reportan a Legales (5,3%) o Auditoría (4,6%). La mayoría de los Compliance Officers reporta al Directorio/Comité de Auditoría (26%). Líneas de reporte a Relaciones Institucionales o a RRHH son hoy en día raras excepciones.
En las subsidiarias de empresas internacionales, el Compliance Officer reporta en un 32% a la casa matriz o a una sede regional.
Las líneas de reporte del Chief Compliance Officer en las casas matrices son similares: El 57,9% reporta al Directorio/Comité de Auditoría, el 21,4% al CEO y el 9,5% a Legales.
El tema de la línea de reporte (al menos la funcional) del Compliance Officer tiene una enorme importancia por dos razones: Con buenas razones los reguladores exigen que el Compliance Officer tenga independencia y una posición estratégica en la organización.
Las empresas siguieron las indicaciones de los reguladores y modificaron (más o menos rápido) sus estructuras de Compliance. Mientras en los años 90 todavía era común tener la función de Compliance ubicado en un nivel bajo en Auditoría, RRHH o Legales, en los últimos 20 años evolucionó. Primero separaron el área de Compliance de Auditoría y RRHH casi por completo. Desde hace unos años Legales dejó de ser la línea de reporte de Compliance más importante. Muchas empresas separaron Compliance de Legales para evitar conflictos de interés en Legales, y darle a Compliance una posición estratégica. Sin embargo, si ubicar Compliance en Legales o no, sigue siendo uno de los temas de debate más interesantes (ver acá).
La mayor independencia y a la vez el mayor peso en la organización otorga la línea de reporte al Directorio/Comité de Auditoria. Es la línea de reporte más frecuente, no solo en los resultados de esta encuesta. Una dependencia del CEO otorga peso en la organización, pero la independencia de la función queda comprometida.
Los Reguladores exigen mapeos de riesgo de ética y compliance como base de todo programa de compliance efectivo. Mapeos de riesgos de ética y compliance además sirven a las empresas a focalizar a sus escasos recursos en los temas de mayor riesgo y demostrar el compromiso de la Alta Dirección con el tema. No es un tema nuevo, pero es uno de los más recientes en el campo de É&C. Las respuestas demuestran que este tipo de mapeos está avanzando: El 53% de las respuestas indica que realizan mapeos de riesgos de ética y compliance con regularidad y 32,6% respondió que lo están haciendo por primera vez. Solo el 14,4% dijo que no lo hicieron nunca. Que el 32,6% lo incorporaron ahora, es una clara señal que el mensaje ha llegado.
Los temas que abarcan estos mapeos de riesgo de ética & compliance demuestran el crecimiento de la posición más allá de la lucha contra la corrupción y las regulaciones: Más del 50% incluyen en sus mapeos además de riesgos de corrupción (88,2%), a riesgos de fraude (75,6%), de la violación de regulaciones del sector (71,7%), de protección y privacidad de datos (62,5), de compliance en la cadena de valor (58,3%), de discriminación y acoso (54,3) y lavado de activos (50,4). Incluso la protección de la reputación está presente en los mapeos de casi el 50% de las empresas (48,8%). Varios de estos temas hace pocos años atrás no estaban ni en las listas de temas de compliance.
Según la mayoría de las respuestas (67,5%) las empresas realizan los mapeos de riesgos de ética y compliance en forma anual, el 19,1% lo hace cada dos años y el restante 13,5% en períodos mayores. Estos resultados concuerdan bastante con varias encuestas internacionales. Vale señalar que los reguladores observan si los resultados de los mapeos son actualizados en forma adecuada, y si realimentan el programa de É&C está poniendo foco en los riesgos más importantes actuales. Una frecuencia plurianual puede ser insuficiente para reflejar las consecuencias de los cambios permanentes de los negocios y sus modelos.
La persona que lidera los mapeos de ética y compliance es en la gran mayoría de las empresas el Compliance Officer (65,9%). Algo sorprendente es que el segundo más nombrado como líder de estos mapeos no es el Risk Officer (7,9%), sino Auditoría Interna (13,5%).
Las respuestas indican que los mapeos de riesgos de ética & compliance son un ejercicio complejo. Intervienen además del Compliance Officer (87,5%), la Auditoría Interna (60,2%), la Alta Dirección (58,6%), Legales (54,7%) y las Gerencias y Jefaturas operativas (49,2%).
Sorprende nuevamente que el Risk Officer participa solo en el 42,2% de los casos. Su participación tiene importancia por tener, por un lado, las herramientas para organizar el proceso del mapeo y por el otro es la persona que puede asegurar que el mapeo de riesgos de ética & compliance al final se integra al mapeo de riesgos de la organización sin grietas y solapamientos. También sorprende la baja participación del departamento de IT (25%). Sin ellos parece difícil poder mapear los riesgos de protección y de privacidad de datos.
A la pregunta por los métodos utilizados, las respuestas indican que en la mayoría de los casos las empresas se basan en dos: Entrevistas individuales (63%) y cuestionarios estructurados (61,4%). Talleres (31,5% y focus groups (29.9%) no tienen un rol importante. En este punto parece haber todavía espacio de mejora: Talleres y focus groups con participantes de varios niveles de la organización agregan un gran valor al mapeo (ver aquí).
Para realizar el mapeo, las empresas utilizan información de varias fuentes: Casi todos (80,3%) utilizan las políticas y procedimientos existentes. El 75,6% revisan datos provenientes de los canales de denuncia, auditorías, entrevistas de salida y de investigaciones. 55,1% se fija además en información general sobre el país, la región y el sector industrial específico. El 47,2% utiliza las guías de los reguladores como marco de la actividad. El 27,3% contrata a consultores para el mapeo de riesgos de ética & compliance.
Los recursos o al menos el presupuesto del área de compliance no ha sufrido mermas este año. El miedo que la pandemia y la necesidad de las organizaciones de reducir costos no parece ser fundado. A la pregunta si el presupuesto del área de compliance 2021 en términos reales ha aumentado, el 16,3% respondió que si y el 57,4% dijo que se ha mantenido estable. El 26,4% indicó que en términos reales disminuyó.
La magnitud de la variación del presupuesto (hacia arriba o hacia abajo) varía: Mientras el 51,2% indica que no hubo variación (que no es totalmente consistente con la respuesta a la pregunta anterior donde el 57,4% negaba variaciones), el 16% la ubica en la franja de hasta el 10% y 14,4% en una franja de hasta 20%. 12,8% indican una variación de más del 30%.
En resumen, la encuesta confirma la evolución de compliance según las líneas internacionales: Línea de reporte directa al Directorio/Comité de Auditoría, más y mayores responsabilidades de los Compliance Officers, más mapeos de riesgos de ética & compliance (que todavía pueden evolucionar incluyendo algunas herramientas como talleres y/o focus groups).
[i] Encuesta digital entre profesionales de compliance en Argentina de la región con 132 respuestas realizada entre el 5.3. y 25.3. 2021. Los resultados están publicados en https://www.gobernabilidadytransparencia.com/wp-content/uploads/2016/08/Presentacion-encuesta-marzo2021.pdf