eBook - ePub

Los ocho pilares de Compliance

Name: Los ocho pilares de Compliance
Author: Matthias Kleinhempel

Reflexiones y propuestas

Matthias Kleinhempel

Buch teilen

207 Seiten
Spanish
ePUB (handyfreundlich)
Über iOS und Android verfügbar

eBook - ePub

Los ocho pilares de Compliance

Reflexiones y propuestas

Matthias Kleinhempel

Angaben zum Buch

Buchvorschau

Inhaltsverzeichnis

Quellenangaben

Über dieses Buch

Hay una gran cantidad de documentos y directrices disponibles sobre Ética y Compliance (É&C), pero solo unos pocos están diseñados para aquellos responsables de asegurar que los estándares de integridad lleguen a todas las partes de la organización. Esta obra, que se enfoca en los ocho pilares de compliance, arroja luz sobre el verdadero rol de la función, el lugar que ocupa en la vida corporativa y propone herramientas prácticas que resultan de gran valor para quienes ponemos el cuerpo en esta tarea fascinante. Esta obra ofrece orientación práctica y sugerencias útiles basadas en la experiencia del autor. Hace más de 10 años que dirige el Centro de Gobernabilidad y Transparencia del IAE Business School y, desde allí, ha podido realizar una meticulosa selección de sus artículos y papers que han sido la arcilla con la que dio forma a esta obra.

Häufig gestellte Fragen

Wie kann ich mein Abo kündigen?

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.

(Wie) Kann ich Bücher herunterladen?

Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.

Welcher Unterschied besteht bei den Preisen zwischen den Aboplänen?

Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.

Was ist Perlego?

Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.

Unterstützt Perlego Text-zu-Sprache?

Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.

Ist Los ocho pilares de Compliance als Online-PDF/ePub verfügbar?

Ja, du hast Zugang zu Los ocho pilares de Compliance von Matthias Kleinhempel im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Business & Etica aziendale. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag

Editorial Temas

Jahr

2021

ISBN

9789878387307

Thema

Business

Thema

Etica aziendale

PILAR 1

MAPEO DE RIESGOS

Riesgos de ética & compliance

En su guía para el Foreign Corrupt Practices Act (FCPA), el Departamento de Justicia de los Estados Unidos dice que para desarrollar un programa de compliance efectivo hay que evaluar los riesgos, y que la Securities and Exchange Commission (SEC) y el Departamento de Justicia se fijarán en esta evaluación cuando la empresa tenga un incidente. Este aspecto se encuentra con toda claridad también en la Federal Sentencing Guidelines (FSGO) desde 2004.

Desde ahí, es estándar decir que todo programa de compliance debe basarse en una evaluación de los riesgos de ética y compliance (É&C) que enfrenta la empresa.

Suena lógico: los programas de É&C están ahí para prevenir actos contrarios a normas, regulaciones y valores de la organización (y mitigar sus consecuencias si, a pesar de todo, ocurren). Para organizar esta prevención, hay que saber cuáles son estos riesgos, dónde están, cuál es su importancia, cómo mitigarlos (o cuáles eventualmente asumir) y qué afectan si ocurren: aspectos financieros, organizacionales y/o la reputación.

Los riesgos de É&C son amenazas a la situación financiera, organizacional o reputacional por la violación de leyes, regulaciones, códigos de conducta o estándares y prácticas organizacionales. Esta es una, aunque hay miles de definiciones, pero, al final, son todas similares.

Tanto las FSGO como las leyes anticorrupción de Gran Bretaña y Brasil, la ley 27.401 de la responsabilidad penal de las personas jurídicas de la Argentina y las guías y manuales para estas leyes y regulaciones requieren de las empresas que se basen en los resultados de mapeos de riesgo para diseñar, implementar y modificar cada elemento de su programa de É&C.

Sin este punto de partida, sus programas no serán considerados “efectivos” y, por ende, no servirán como mitigador en caso de un “incidente”.

Estas leyes, regulaciones y guías no dicen mucho sobre cómo deben hacerse los mapeos de riesgos de É&C. Se limitan a aclarar que deben cubrir la naturaleza y seriedad de la posible conducta delictiva, los riesgos asociados con la actividad de la compañía, los riesgos asociados con su historia y una priorización de estos riesgos.

No dan una guía sobre cómo estos mapeos de riesgo se deben hacer, pero ahora el Departamento de Justicia de Estados Unidos, en un cuestionario para fiscales que investigan empresas, les requiere preguntar por la metodología que la organización bajo investigación ha utilizado para elaborar el mapeo. En otras palabras, en el futuro, los reguladores y fiscales se van a interesar más por la profesionalidad con la cual se han realizado.

Los mapeos de riesgos de É&C tienen sentido más allá de los requerimientos regulatorios para poder acceder a menores multas. Son necesarios para que la organización entienda su exposición a riesgos, la probabilidad, las razones por las que se pueden materializar y qué impacto pueden tener. Son necesarios, también, para poder priorizarlos, así como para asignarles dueños y recursos para su mitigación. Son la forma de focalizar esfuerzos y recursos, en vez de repartirlos con una “regadera” de manera cara e ineficiente en toda la organización.

Para entender la situación, muchas empresas tendrán que mejorar sus procesos de evaluación de riesgos para abarcar en forma más sistémica su exposición a riesgos de É&C. Las regulaciones internacionales y locales se multiplican y las expectativas de los stakeholders importantes de las organizaciones también. La consecuencia son riesgos de É&C no solo mayores, sino también más complejos de reconocer y de mitigar. Los riesgos típicamente nombrados en este contexto son los que presentan las regulaciones, contactos con la administración pública (como cliente, proveedor o a través de la aduana), el sector industrial, el modelo de negocio y los socios en el negocio. Otros recomiendan acercarse al tema desde las siguientes categorías: riesgos de la compañía, riesgos del país, riesgos del sector, riesgos transaccionales y riegos de socios en el negocio/cadena de valor.

Muchos enfoques nacieron desde las FSGO y, en consecuencia, tienen un fuerte componente de riegos de corrupción. En la evaluación de riesgos de É&C, es importante no perder de vista una gran cantidad de riesgos no necesariamente vinculados a la corrupción, como la seguridad de datos, los riesgos medioambientales o la discriminación.

Hay muchas formas para conducir un proceso de mapeo y evaluación de riesgos de É&C. Es importante, sin embargo, tener en mente algunos conceptos básicos: la evaluación de riesgos nunca es un ejercicio único. Se recomienda repetirlo periódicamente en forma anual o bianual. Los riesgos cambian con el tiempo y nuevos riesgos aparecen.

La evaluación de riesgos de É&C es una herramienta vital para tomar decisiones sobre el diseño y la implementación de los diferentes elementos del programa de É&C. Más allá de este objetivo, el mapeo y el análisis de estos riesgos en sí contribuyen a aumentar la sensibilidad para estos temas en la organización y constituyen una importante parte del tone at the top.

El mapeo y análisis de los riesgos de É&C tiene algunos aspectos particularmente desafiantes para el proceso mismo: incluye valores y aspectos de ética, conceptos blandos de, a veces, difícil acceso para su reconocimiento, definición y evaluación. Típicos ejemplos son los riesgos basados en la cultura organizacional, como por ejemplo la presión por resultados, la alineación de valores e incentivos, la lealtad de los empleados, la justicia interna, el clima de transparencia, la posibilidad de formular críticas, entre otros.

Su inclusión es de suma importancia, porque son determinantes importantes a tener en cuenta para un programa de É&C efectivo.

La evaluación de riesgos de É&C no debe hacerse como en una suerte de silo del área de Ética & Compliance, ya que comprende a toda la organización transversalmente. Pero como típicamente es el único proceso que busca identificar riesgos legales, regulatorios y éticos/culturales, requiere un enfoque más focalizado que el más amplio del Enterprise Risk Management (ERM). El dueño es el chief compliance officer.

Los determinantes de los riesgos de É&C se encontrarán mejor utilizando grupos interdisciplinarios y con la intervención de individuos de todos los niveles de la organización. Los “operativos” ven muchos riesgos más de cerca y con mayor claridad que los ejecutivos altos. Además, con la activa intervención de los dueños de los riesgos, los resultados del proceso y las mitigaciones tendrán mayor credibilidad.

El análisis de datos como estadísticas de la línea de denuncia, reportes de compliance, acumulaciones de ciertas transacciones sospechosas, tendencias y menciones en medios sociales, etc., proveen una buena base para el mapeo de riesgos.

Los resultados deben integrarse en el mapeo y análisis de riesgos de la organización.

Al final debe haber resultados prácticos: visibilidad de los determinantes de riesgo, la probabilidad de materialización de los riesgos y la gravedad de los impactos. Esto ayuda a priorizar los riesgos, designar dueños y asignar recursos para su mitigación.

Para que los resultados sean prácticos, deben ser operacionables, es decir, permitir tomar decisiones sobre el programa de É&C, como nuevas políticas o la adecuación de políticas existentes, fijación de objetivos de educación y entrenamiento, su contenido, periodicidad y formatos y audiencias específicas, adecuación, ampliación o eliminación de monitoreos y controles, formas de mitigación de los riesgos culturales y éticos.

En resumen, un proceso complejo que conviene realizar con un objetivo claro en mente: poder operativizar sus resultados en los elementos del programa de É&C con foco en los determinantes culturales, que suelen ser los más poderosos.

En un taller del Centro de Gobernabilidad y Transparencia del IAE, el 30 de marzo de 2017, realizamos una encuesta informal sobre el uso de mapeos de riesgo de É&C en las empresas. Participaron casi cien compliance officers y abogados de empresas internacionales y locales grandes. No es una encuesta que permita sacar conclusiones estadísticamente válidas, pero demuestra los grandes rasgos de la situación actual. Considerando la importancia regulatoria y organizacional de contar con un mapeo de riesgo de É&C bien diseñado, parece existir espacio para mejoras: el 74 % de las empresas presentes dijeron contar con una evaluación de riesgos de É&C y el 68 %, algo menos, dijeron basarla en un mapeo de riesgo formal.

Es decir, más del 25 % de las empresas grandes en el país no contaba con una evaluación de sus riesgos de É&C y casi el 30 % no realizaba mapeos de estos riesgos. Desde entonces estos porcentajes han cambiado. Sin embargo, hay muchas dudas respecto a la calidad de los mapeos de riesgos de ética & compliance que se realizan. Suelen limitarse a algunos riesgos de corrupción.. Solo algo más de la mitad de las empresas (el 55 %) manifestaba incluir en su mapeo de riesgo a los niveles operativos, que son precisamente los que conocen los riesgos mejor que nadie y deben necesariamente formar parte de la elaboración del mapeo. El dato quizás más preocupante es que solo en el 27 % de los casos decía que la evaluación de riesgos incluye riesgos de la cultura organizacional, que es el área donde residen la mayoría de los determinantes de riesgo de É&C, como la alta presión por resultados a corto plazo, el liderazgo autoritario, las inconsistencias entre valores declamados y sistemas de incentivos, entre otros.

Se plantea la pregunta de en base a qué estas empresas diseñan sus programas de É&C

Un minimanual con los puntos esenciales a observar al realizar un mapeo de riesgos de É&C y la definición de los mitigadores tendría los siguientes títulos y temas:

Cada mapeo es diferente, pero todos tienen algo en común: la metodología. El dueño del proceso es el compliance officer.
Hay que trabajar con un grupo multidisciplinario y multijerárquico. Es de importancia que el/los grupo/s de trabajo incluya/n no solo las diferentes áreas directa e indirectamente expuestas a riesgos de É&C, sino también a los diferentes niveles, empezando con la alta dirección y llegando hasta los niveles operativos, que a menudo ven con mayor claridad ciertos riesgos que los niveles gerenciales no. Además, un grupo diverso sufre menos de ceguera motivada.
Se utilizan los datos y demás información disponible de la línea de denuncias, entrevistas de salida, políticas y procesos, informes de auditorías y reportes de compliance. Se realizan entrevistas individuales, encuestas y talleres.
En un primer paso, se elabora un inventario de riesgos de É&C y se analizan sus determinantes. Puede servir de base un listado abarcativo de posibles riesgos para despertar la sensibilidad. Ejemplos son leyes y regulaciones: FCPA, Anti Trust, regulaciones de la industria, prevención de lavado de activos (PLA) y financiamiento del terrorismo (FT), seguridad de datos, riesgos en la cadena de valor, riesgos del programa de É&C, riesgos de compliance en recursos humanos, riesgos de la organización, riesgos del modelo de negocio, riesgos de conflictos de interés, etc.
Típicamente, surgen para cada riesgo varios determinantes. Los determinantes más importantes y, a la vez, más difíciles de encontrar y describir son los relacionados a la cultura: la presión por resultados, el tone at the top (y en el medio), la consistencia de los valores con los incentivos, la justicia interna, el clima de transparencia, así como el rol y la posición del compliance officer, las políticas y procesos, el entrenamiento y la comunicación.
Para priorizar los riesgos inventariados, hay que medir su probabilidad de ocurrencia y su impacto. Cómo hacerlo resulta a veces difícil. Una cuantificación no siempre es posible. Las estimaciones se pueden mostrar en escalas (bajo, medio, alto…).
Se otorgan prioridades a los riesgos de mayor impacto, o a los riesgos crecientes, y se asignan acciones de mitigación, responsables y planes de acción.

Una buena gestión de riesgos de É&C resulta en un programa de É&C calibrado a las áreas de mayor riesgo identificadas en este proceso, que es realimentado por la repetición periódica del proceso.

Riesgos en la cadena de valor

Los riesgos de terceros es uno de los temas que más preocupan a los compliance officers. Esto no sorprende, dado que el 90 % de las investigaciones en temas de corrupción involucran a un tercero: distribuidor, proveedor, consultor, etc.

En consecuencia, los reguladores exigen mayores esfuerzos para minimizarlos.

El Departamento de Justicia de los Estados Unidos incluyó el tema en su documento publicado en 2020 como una de las once claves para evaluar la efectividad de programas de compliance. La SEC demostró sus ventajas desistiendo en algunos casos de investigaciones contra empresas por tener un sólido programa de due diligence de sus proveedores o distribuidores. Está claro, la tercerización de procesos no conlleva a la tercerización de riesgos: estos se comparten a lo largo de la cadena de valor. No queda otra que invertir en los procesos de compliance de las terceras partes y su debido control. Esto incluye:

due diligence inicial y monitoreo continuo,
flowing down (de políticas de compliance a los subsiguientes niveles de proveedores o distribuidores),
entrenamiento y comunicación,
documentación y procesos,
derechos de auditoría y terminación.

Los pilares de un buen programa de compliance en la cadena de valor son conocidos y se ven reflejados en un sinnúmero de guías –un buen ejemplo es l...