Nada nuevo bajo el sol, ¿o no?: Las tendencias en Integridad y Compliance para 2023

Si bien es probable que haya muchos temas nuevos en la agenda de los Compliance Officers en 2023, algunos vienen desde años anteriores y continúan a la vanguardia, pese a que sus detalles evolucionaron. Quizás los asuntos nuevos más significativos se relacionen con el papel de las empresas en la sociedad moderna. Este tema cobró fuerza en 2019 y, desde entonces, ha dado lugar a debates, algunos de ellos intensos y continuos hasta la fecha, sobre si las corporaciones tienen deberes hacia grupos distintos de los accionistas, como empleados, clientes, proveedores y las comunidades en las que operan. Se espera que la evolución de las tendencias de gobierno corporativo observadas en los últimos años se intensifique en éste. Nos referimos a los asuntos complejos de ESG, la ciberseguridad, las condiciones económicas volátiles, interrupciones en la cadena de suministro, entre otros. Una comunicación fluida entre directores, altos ejecutivos e inversionistas es aún más imperativa ahora que las empresas enfrentan riesgos y desafíos crecientes en un entorno cada vez más volátil, creando una cultura corporativa que valore la integridad y el profesionalismo. Y si bien las empresas siempre deben mantenerse al tanto de los desarrollos regulatorios y las tendencias de la industria, es esencial asegurarse de que los ejecutivos y directores reciban oportunamente toda la información relevante necesaria para evaluar los riesgos, evaluar las políticas y procedimientos actuales y desarrollar estrategias que equilibren los intereses de los diversos stakeholders.

A continuación, la agenda de temas que los Compliance Officers globales consideran en su agenda para este año:

Imagen generada por el Bot de Midjourney con las palabras claves business Women, bright future y 2023 agenda.

Compliance Officer techies: hay que aprender de Seguridad Informática, Inteligencia Artificial y Blockchain

Ciberseguridad y hackers a la orden del día. Prepandemia, la discusión sobre el riesgo tecnológico se centraba casi por completo en los riesgos asociados con las nuevas tecnologías, como el riesgo disruptivo y las cuestiones éticas asociadas con el uso de inteligencia artificial (IA). Si bien los riesgos, los desafíos y las oportunidades asociados con la disrupción y el uso de la IA permanecen en las agendas del Board, la discusión se ha desplazado claramente hacia la seguridad informática, dado el aumento exponencial en la cantidad y gravedad de los ciber-ataques. En efecto, la ciberseguridad es una preocupación importante para las empresas y sus directorios, tal como los practitioners de Compliance reportaron en nuestra última encuesta.

Muchos directorios han considerado la conveniencia de agregar miembros con una variedad de habilidades, desde experiencia en riesgos cibernéticos hasta conocimientos generales de tecnología. Este tema se abordó en marzo de 2022 en las propuestas de la Comisión de Bolsa y Valores (SEC) que impondrían nuevos y extensos requisitos de divulgación en torno a la ciberseguridad, incluyendo "si algún miembro del Board tiene experiencia en ciberseguridad y, de ser así, la naturaleza de tal experiencia”. Varios de los comentarios presentados a la SEC sobre esta propuesta cuestionan la necesidad y la conveniencia de este requisito, señalando que no es factible agregar un "experto" en cada tema que las juntas deben abordar y que otros directores pueden depositar una confianza indebida. en un "experto" en un tema determinado. Sin embargo, ya sea que este requisito se adopte como se propuso, se elimine de la regla final o algo intermedio, es casi seguro que los Directorios seguirán enfocados en tener uno o más miembros con algún grado de experiencia o conocimiento tecnológico.

Además, la SEC propuso nuevas reglas sobre gestión de riesgos de ciberseguridad, estrategia, gobernanza y divulgación de incidentes. Las enmiendas propuestas requieren, entre otras cosas, informes sobre incidentes de ciber-seguridad materiales e informes periódicos para proporcionar actualizaciones sobre incidentes reportados anteriormente. La propuesta también requeriría informes periódicos sobre las políticas y procedimientos de un registrante para identificar y gestionar los riesgos de seguridad informática; la supervisión del riesgo de ciberseguridad por parte de la Directorio del registrante; el papel y la experiencia del management en la evaluación y gestión del riesgo de seguridad informática y la implementación de políticas y procedimientos en esta materia. Se espera que la SEC finalice las reglas en 2023.

Conectado con lo anterior, existe una red cada vez más estricta de legislación sobre privacidad de datos. En el Reino Unido y Europa continental, por ejemplo, la privacidad de los datos generalmente se considera un derecho humano fundamental. En otros mercados, como los EE. UU., las empresas deben navegar por un mosaico cada vez mayor de regulaciones estatales. California, Colorado, Connecticut, Utah y Virginia tienen sus propias leyes de privacidad de datos del consumidor. El panorama regulatorio de seguridad y privacidad de datos está evolucionando dinámicamente. La ola de países que siguen el enfoque de la Unión Europea (UE) para adoptar una legislación integral de protección de datos ha aumentado rápidamente en los últimos años. La Lei Geral de Proteção de Dados (LGDP) de Brasil, Protección de información personal de China (PIPL) y la Ley de Protección de Información Personal de Sudáfrica (POPIA) son solo algunas de las principales leyes adoptadas. La Agencia de Acceso a la Información Pública de Argentina publicó el proyecto de ley de reforma de la Ley de Protección de Datos Personales tras someterlo a consulta pública.

En este contexto, las empresas deben evaluar sus riesgos y procedimientos para mitigarlos, así como las habilidades y experiencia de sus directores en el manejo de tales asuntos. También los Compliance Officers continuarán formándose en materia tecnológica y de ciberseguridad, dado que probablemente deban ser parte de las discusiones sobre infraestructura y arquitectura tecnológica dadas las implicancias sobre los riesgos, la innovación, las posibles implicaciones éticas y los controles.

Nuestro nuevo colega: la “IA”: Con herramientas de IA cada vez más estandarizadas y disponibles, pocas empresas encontrarán verdaderos diferenciadores derivados de un mejor o más moderno algoritmo. En cambio, lo que probablemente diferenciará a las empresas impulsadas por IA de sus competidores será la solidez con la que utiliza la IA en todos sus procesos.El elemento clave, que se ha desarrollado mucho más lento que la tecnología de aprendizaje automático, es la seguridad y confianza.A medida que las máquinas tienen la posibilidad de realizar tareas similares a las humanas y que van más allá del cálculo numérico básico, incluyendo el ámbito del discernimiento y la toma de decisiones a través de inteligencia artificial, el mundo de los negocios tendrá que desarrollar una nueva comprensión de lo que significa confiar en las máquinas.

Los riesgos y desafíos que la IA supone en materia de Ética y Compliance hará que este tema también encuentre un espacio relevante en la agenda del Compliance Officer en 2023.

En nosotros confiamos: arquitecturas y ecosistemas descentralizados. Los ecosistemas impulsados por blockchain se están volviendo clave no solo para desarrollar y monetizar activos digitales, sino también para crear confianza digital. A medida que las organizaciones comienzan a comprender la utilidad de blockchain, se están dando cuenta de que generar confianza entre las partes interesadas podría ser uno de sus principales beneficios.Desde las aplicaciones empresariales cotidianas hasta los modelos comerciales nativos de blockchain, las arquitecturas descentralizadas y los ecosistemas evitan colocar a la confianza en una sola persona u organización, distribuyéndola entre la comunidad de usuarios.

En este mundo, es cada vez más probable que los nativos digitales exijan pruebas de mayor calidad y una verdad de orden superior. Las tecnologías de contabilidad digital y los modelos comerciales descentralizados que logran el consenso a través del código, la criptografía y los protocolos tecnológicos están demostrando que ninguno de ellos es tan confiable como todos nosotros. Este panorama presenta enormes desafíos para el Compliance Officer.

Estrategia y riesgo

En los últimos años los Directorios se han centrado cada vez más en la supervisión de las estrategias empresarias. Atrás quedaron los días en que los Directorios y la Alta Gerencia realizaban un retiro anual para para discutir sobre la estrategia de la compañía, que raramente volvía a revisarse sino hasta el siguiente retiro. Pero hoy en día, los Directorios discuten rutinariamente algún aspecto de la estrategia en la mayoría de las reuniones, si no en todas, y formulan preguntas como: “¿Qué pasos hemos tomado y qué pasos tomaremos para implementar nuestra estrategia?” “¿Qué tan avanzados estamos en el proceso de implementación?” “¿Necesitaría ser modificada, someterse a ajustes significativos?” Y un largo etcétera.

La supervisión de riesgos también sigue siendo un tema prioritario, particularmente porque la cantidad y la gravedad de los riesgos parecen aumentar a diario. Y hay aspectos de Compliance asociados a la mayoría de ellos. Tal vez debido a la proliferación de nuevos riesgos, los Boards puedan querer volver a examinar los programas de gestión de riesgo para determinar si no se convierten en un mero proceso de “check the box”.

Los Compliance Officers, por lo tanto, deberán involucrarse en la producción regular de un tablero con los riesgos más importantes, para asegurarse de que se agreguen nuevos riesgos y para facilitar la comprensión de cómo las vulnerabilidades de riesgo específicas y los niveles de impacto cambian de un trimestre a otro.Un programa de Gestión de Riesgos Empresariales (en inglés ERN - Enterprise Risk Management) que ha funcionado bien durante varios años puede generar autocomplacencia o puede no identificar nuevos riesgos o detectar riesgos emergentes, tanto internos como externos, o su impacto potencial en el negocio. En conexión con esto, puede que sea necesario reevaluar la eficacia del Programa de Integridad o algunos de sus componentes. Es posible que también deba considerarse si la salida de empleados u otros acontecimientos han afectado los recursos necesarios para ejecutar correctamente el Programa.

Aumento del activismo corporativo

En la América Latina se espera una intensa actividad de las agrupaciones sociales que suponen una presión adicional a las ya estresadas cadenas de suministro, sobre todo en los conurbanos industriales. La altísima inflación e incertidumbre económica, sumados a un clima político volátil, crean un caldo de cultivo para que los piquetes estén a la orden del día. Pero estas preocupaciones no son exclusivas de los empresarios domésticos. En los Estados Unidos también se menciona como una tendencia el aumento del activismo para este año. Se reporta que la disminución de los valores de las acciones impulsa la participación de una mayor cantidad de inversores activistas, sumado al reciente cambio de reglas de la Comisión de Bolsa y Valores (SEC, por sus siglas en inglés) que facilitará la participación de los activistas en las luchas por la elección de directores en el futuro, haciendo que sea más fácil y menos costoso presentar a sus propios directores nominados. Cuando se combina con el uso inteligente de las redes sociales, la nueva regla de la SEC puede mejorar sustancialmente la capacidad de los activistas para montar peleas de poder exitosas en el futuro, que estén menos limitadas por los requisitos formales de las elecciones en años pasados.

Cuestiones Ambientales, Sociales y de Gobernanza (ESG)

Los diferentes stakeholders son cada vez más conscientes del impacto de las operaciones de una empresa en el medio ambiente y la sociedad, y les exigen que asumir un rol más activo para abordar estos asuntos. Es probable que esta tendencia genere una mayor presión sobre las empresas para que adopten prácticas comerciales más sostenibles y divulguen más información sobre su desempeño ESG.A medida que la crisis climática se vuelve más evidente cada año, los consumidores comenzarán a exigir más y mejores acciones de los gobiernos y las empresas, que incluso podrían ser llevados a los tribunales por estas fallas. Un ejemplo clave de 2022 fue que Goldman Sachs Asset Management recibió una multa de € 3.778.800 por no cumplir con sus propias políticas y procedimientos de ESG.No es ningún secreto que la SEC está tomando medidas contra el Greenwashing y los informes ESG inconsistentes, ya que los administradores de activos y otras instituciones financieras luchan con la mala calidad de los datos y los marcos de informes inconsistentes.Sin embargo, con una serie de marcos de políticas a nivel nacional y multilateral en discusión, se presentaría un escenario superador: ejemplos clave son la Directiva de Informes de Sostenibilidad Corporativa de la UE , que hará cumplir la publicación del impacto ambiental junto con los datos financieros, y Japón, que ha estado aumentando el escrutinio de 'ESG' durante todo el año.

Sin embargo, durante 2022 también hemos observado un nuevo movimiento de reacción anti-ESG que se opone a la consideración de estos factores, en un intento por volver a la noción obsoleta de que el propósito de una empresa es aumentar las ganancias de los accionistas a corto plazo. También debemos señalar que esta politización no altera la capacidad del Directorio de tener en cuenta los factores de ESG; por el contrario, tal consideración es consistente con su deber fiduciario de cuidado, así como con las obligaciones del Directorio para identificar y abordar los riesgos materiales.

No existe una solución única para supervisar los asuntos de ESG, y por una buena razón. Cada empresa debe navegar por su propia singularidad relacionada con su estructura organizacional, alcance global, impacto ambiental, circunstancias comerciales y requisitos de la industria. Además, la amplia constelación de temas que comprende ESG a menudo no encaja perfectamente en el cargo de ningún comité del Directorio. Como resultado, las empresas optan cada vez más por marcos de gobierno de ESG que asignan responsabilidades a varias combinaciones de comités y el Board en pleno.

En medio de esta variabilidad, muchos se centran en el panorama regulatorio. Dada la regla propuesta por la SEC sobre la divulgación de riesgos climáticos (ver abajo), la presentación de informes podría pasar rápidamente de ser voluntaria a obligatoria. Con anticipación, las empresas que cotizan en EE.UU. deben prepararse para divulgar formalmente y, en última instancia, obtener garantías sobre su impacto en el clima como parte de sus presentaciones financieras 10-K.

Si bien la regla propuesta se enfoca en la "E" de ESG, las empresas deberían pensar en el marco de gobernanza para su estrategia ESG en general, así como para cada componente definido, en medio de las crecientes expectativas políticas, regulatorias y de las partes interesadas. Y dado el gran impacto que probablemente tendrá la regla propuesta en los informes financieros, los Compliance Officers deberán comprender las tendencias que están surgiendo rápidamente sobre las divulgaciones climáticas y el panorama más amplio de la gobernanza ESG.

Divulgaciones climáticas

A medida que los impactos del cambio climático se han vuelto más evidentes en los últimos años, los grandes inversionistas institucionales en los principales mercados globales han presionado cada vez más a las empresas para que presten atención al cambio climático, a menudo buscando compromisos para reducir las emisiones o tomar otras medidas tangibles. Sin embargo, hasta hace relativamente poco tiempo, este tema no parecía ser una prioridad en la agenda de los reguladores, en particular la SEC. Eso comenzó a cambiar a fines de 2020, cuando se pronunciaron discursos u otras declaraciones públicas sobre la importancia de la divulgación del cambio climático, sumado al aumento de escrutinio de la SEC sobre las divulgaciones (o ausencia de ellas), con respecto al cambio climático y su impacto en el presente y futuro del negocio.

Más recientemente, el 21 de marzo de 2022, la SEC publicó una propuesta de regla para exigir a las empresas que cotizan a que realice nuevos disclosures relacionados con el clima, incluyendo información sobre los riesgos climáticos que razonablemente podrían tener un impacto material en el negocio, los resultados de las operaciones o la situación financiera de una empresa. La regla propuesta también requeriría ciertas métricas climáticas en una nota a los estados financieros auditados de las empresas. Se espera que la SEC finalice la regla a principios de este año. Prepararse para las divulgaciones climáticas propuestas no es un tema menor para las empresas, dado que la SEC sigue intensificando las acciones de cumplimiento alegando divulgaciones engañosas relacionadas con ESG, lo que se conoce como “Greewashing”. Las corporaciones deberán verificar cuidadosamente la precisión de todas las declaraciones públicas relacionadas con ESG, ya que se espera que continúe un mayor escrutinio.

Iniciativas de Diversidad e Inclusión

Ya sea que las empresas opten o no por hablar abiertamente sobre cuestiones de Diversidad e Inclusión, se espera que los Directorios "walkthetalk" en esas cuestiones. Incluso puede que vayan más allá de lo básico—“mera” diversidad—pagando y tratando a los empleados en forma equitativa y demostrando que todos valorados e importantes (es decir, inclusión). Y cuando se trata de DEI (diversidad, equidad e inclusión), los Directorios tienen una doble responsabilidad, ya que deben considerar si DEI existe tanto a nivel del Boardcomo de la fuerza laboral.

Al considerar las nominaciones de Directores para este año, los Boards de las empresas que cotizan en EE.UU. deben esforzarse por lograr una combinación diversa de conocimientos, experiencias y antecedentes, teniendo en cuenta que es posible que sea necesario registrar y divulgar los esfuerzos para mantener o mejorar la diversidad. Por ejemplo, la regla de diversidad de Directorios de Nasdaq, que fue aprobada por la SEC en 2021, requiere que las empresas que cotizan en bolsa divulguen públicamente la diversidad de sus directorios, ya sea en las declaraciones anuales o en sus sitios web. Además, para 2025 o 2026, dependiendo del tier en el que estén listadas, la mayoría de las empresas que cotizan en Nasdaq deberán tener, o explicar por qué no tienen, al menos dos directores diversos, incluido uno que se autoidentifique como mujer y otro que se autoidentifique como minoría subrepresentada o LGBTQ+.

Si alcanzar los objetivos de DEI a nivel de la fuerza laboral parece desafiante, hacerlo a nivel del Directorio puede serlo aún más. Primero, existen diferentes tipos de diversidad: la diversidad “demográfica”, que involucra raza, género, edad y otros datos demográficos, y la diversidad de conjuntos de habilidades y experiencia, incluidas habilidades en áreas emergentes como inteligencia artificial y criptomonedas. Además, los miembros del Boarddeben poder trabajar de manera colegiada. Como resultado, encontrar a los candidatos correctos, así como la combinación adecuada de ellos, puede plantear desafíos importantes similares a los de jugar al ajedrez multidimensional.

Compensacion Ejecutiva

En octubre, la SEC adoptó las reglas finales exigidas por la Ley Dodd-Frank con respecto a la recuperación de compensaciones basadas en incentivos otorgadas erróneamente. Según la nueva Regla 10D-1, si se requiere que un emisor prepare una reexpresión de su información contable, incluyendo la corrección de un error que daría lugar a una ajuste material si se corrigiera en el período actual (conocidas como "Big Rrestatement") o se dejara sin corregir en el período actual (conocido como "Little R restatement"), el emisor ahora debe recuperar cualquier compensación basada en incentivos erróneamente pagada, ganadau otorgada a cualquier funcionario ejecutivo actual o anterior durante los tres años anteriores a la fecha de la reexpresión requerida. El monto que el emisor debe recuperar es el monto de la compensación basada en incentivos recibido en exceso del monto que de otro modo se habría recibido con base en la métrica financiera actualizada. Este recupero (clawback) se requiere independientemente de si el ejecutivo incurrió en alguna conducta indebida o tuvo la culpa de los problemas que requieren el restatement.

Otro asunto que también cobra creciente interés en el marco de la compensación ejecutiva tiene que ver con el pago y los paquetes de beneficios para los ejecutivos. La pandemia resaltó la disparidad salarial y los Directorios deben reevaluar la estructura salarial de los ejecutivos (compensación, incentivos, bonos, etc.) para asegurar que sea competitiva y garantizar la equidad e igualdad salarial en toda la organización.

Barbas en remojo

Durante este año de mayor exposición a riesgos operativos y regulatorios, las empresas que de manera proactiva gestionen estas tendencias pueden mitigar la volatilidad y las preocupaciones de los accionistas y las partes interesadas, posicionándose así para el éxito en el competitivo panorama empresarial actual.

También es fundamental tener en cuenta que el papel de la empresa en la sociedad es, sin duda, un desafío único porque, a diferencia de los temas discutidos anteriormente, no se ha considerado como un tema relevante para los Directorios sino hasta hace muy poco tiempo. Las empresas vienen pensando desde hace rato sobre los distintos aspectos relacionados con la sostenibilidad; por ejemplo, las empresas extractivas han tenido que considerar el agotamiento de los recursos, y las empresas con operaciones en áreas propensas a condiciones climáticas violentas o sísmicas han sopesado esos problemas durante muchos años. Por el contrario, la responsabilidad social, que está entrelazada con el activismo social, es un fenómeno relativamente reciente que puede presentar desafíos únicos para los Compliance Officers y los Directorios.

Fuentes:

Los puntos de vista, las opiniones y las posiciones expresadas en todas las publicaciones pertenecen únicamente a los autores y no representan las de la Universidad Austral, el IAE Business School o las empresas o instituciones que las apoyan. No se garantiza la exactitud, integridad y validez de las expresiones hechas en este artículo. No aceptamos ninguna responsabilidad por errores, omisiones o representaciones. Los derechos de autor de este contenido pertenecen a los autores y cualquier responsabilidad con respecto a la infracción de los derechos de propiedad intelectual recae en ellos. En ningún caso podrá ni deberá considerarse la información, análisis y opiniones brindadas en todo o en parte de este artículo como asesoramiento, recomendaciones u opiniones profesionales o legales. El lector que necesite tomar decisiones sobre los temas aquí tratados deberá asesorarse específicamente con profesionales capacitados que evalúen las características, normas legales y conceptos aplicables a su caso específico.