Débora Dansker actualmente se desempeña como Associate Director de Compliance para MSD Argentina desde Enero 2021. Anteriormente, trabajó en el grupo Novartis por más de 8 años ocupando diferentes roles en diferentes divisiones y países, siempre dentro del área de Compliance, siendo su última posición Business Development & Licensing & Third Party Risk Management Champion para Argentina. Desde una perspectiva académica, Débora es Licenciada en Administración por la Universidad de Buenos Aires, completó su MBA en la Universidad de Salvador y recientemente completó el programa ejecutivo de “Mujeres en Decisión” de Fundación Flor. Es miembro de Women in Compliance, participa como entrenadora del programa “De empresas para Empresas” de Alliance for Integrity y también es profesora del Programa de Actualización en Compliance de la UBA.
¿Por qué es importante hacer una evaluación de riesgos dentro de un programa de integridad?
A lo largo del presente artículo, nos referiremos al concepto de riesgo como “la posibilidad de que un evento pueda ocurrir y afectar el alcance de la estrategia y objetivos del negocio”, de acuerdo a la definición utilizada por el modelo COSO (traducida al español).
Es por ello que toda organización debe hablar de riesgos: para anticiparlos y tener en claro un plan de acción que reduzca su impacto si el mismo ocurre. En este sentido, una de las primeras cuestiones que debemos procurar es alejarnos de la connotación negativa que en la creencia colectiva este concepto tiene.
El enfoque preventivo es vital en los programas de integridad ya que visualizamos el impacto del riesgo, (por ejemplo: aparecer en la tapa de los diarios debido a una situación de corrupción), nuestro margen de acción es muchísimo menor. Si consideramos este concepto a la luz de los programas de integridad y los riesgos de corrupción, este tema cobra especial relevancia desde la perspectiva jurídica ya que la ley 27401 de Responsabilidad Penal de las Personas Jurídicas regula en su artículo 22 que:
"El Programa de Integridad exigido deberá guardar relación con los riesgos propios de la actividad que la persona jurídica realiza, su dimensión. y capacidad económica, de conformidad a lo que establezca la reglamentación.”
Como así también, en su artículo 23 cita qué “el análisis periódico de riesgos y la consecuente adaptación del programa de integridad” es un elemento no obligatorio, pero altamente recomendado para demostrar la efectiva implementación de un programa de integridad de una organización. Dicho esto, la evaluación de riesgos es un elemento vital para cualquier programa de integridad, tanto en el sentido que debe ser la adecuada para cada organización (¡no es válido el “copiar y pegar”!) como también en su dinamismo ya que debe ir variando de acuerdo a las características cambiantes de cualquier organización (ej. Nueva línea de negocios, nuevos acuerdos, nuevo personal, nuevas regulaciones externas, etc.)
Por otro lado, es casi imposible pensar la existencia de un "riesgo cero” cuando hablamos de riesgos de corrupción. Todas las organizaciones, en mayor o menor medida, lamentablemente están expuestas a estos riesgos.
¿Cómo se realiza el proceso de evaluación de riesgos?
Realizar una evaluación de riesgos es el paso fundamental para la implementación de un programa de integridad en forma efectiva que, en su generalidad, consta de 5 pasos:
I) Identificación de los riesgos: este paso consiste en pensar y listar todos aquellos procesos, situaciones y/o “áreas grises” que pudieran afectar al programa de integridad. Aquí podemos encontrar el listado de los procesos u áreas que podemos considerar a modo de referencia, pensando en aquellas organizaciones que realizan este ejercicio por primera vez: Esta lista no es exhaustiva ya que los riesgos dependerán de cada organización, pero consideramos que es una lista que puede ser de utilidad para saber por dónde empezar:
Pagos en efectivo
Donaciones, patrocinios y subsidios
Interacciones con funcionarios y organismos públicos
Participación en Licitaciones
Provisión de obsequios, viajes y hospitalidad
Uso de terceros (ej. Distribuidores, consultores, agencias intermediarias, etc.)
Conflictos de interés
Otorgamiento de descuentos comerciales
Para aquellas organizaciones que realizan este ejercicio por primera vez, este paso requerirá mucho tiempo y dedicación para poder realizar el relevamiento, pero aseguramos que es el mejor tiempo invertido ya que en función de su resultado, se desprende el éxito medidos en términos de efectividad del proceso en su conjunto. Por otro lado, también podemos valernos de otras fuentes de información como podría ser reportes de la industria, Mapa de Percepción de la corrupción relacionado al país donde operamos, reportes de auditoría interna y/o externa, encuestas de clima interno, etc.
II) Evaluación de los riesgos:
Los riesgos se miden en función de dos variables:
Impacto: refiere a qué pasaría si esa situación que avizoramos como riesgo efectivamente ocurre y cuál sería la consecuencia para la organización, ya sea en términos reputacionales, financieros, legales y/o de negocios
Probabilidad de ocurrencia: refiere a qué tan posible es que el riesgo se materialice en la realidad. Aquí, es inevitable pensar si esa situación ya ha ocurrido en el pasado, pero también es importante reflexionar que tal vez ocurrió y no hemos podido detectar la situación.
Estas dos variables deben poder medirse. Para ello, es importante determinar un criterio homogéneo para que todas las personas que participen del ejercicio consideren lo mismo a la hora de evaluar. En general, se utiliza una escala aritmética, a partir de la cual, al multiplicarse los valores asignados al impacto y a la probabilidad de ocurrencia, conoceremos el riesgo inherente. Éste riesgo es aquel que tenemos en consideración antes de implementar cualquier actividad de mitigación.
A continuación, presentamos un gráfico de doble entrada que nos permite visualizar mejor el mapa de riesgos de una organización. Aquí, citamos un modelo adoptado por la “Guía para la gestión del riesgo de corrupción” en Colombia.
El modelo citado es un marco para tomar de referencia ya que luego, cada organización debe construir su propio modelo ya que dependerá de la escala y el criterio para medir que cada organización determine. Así, es importante alinearse en el significado de las escalas tanto para medir la probabilidad como el impacto para que cuando se realice la evaluación, todos los participantes puedan hacerlo en forma homogénea y consistente. En este caso, la guía plantea, para la medición de la probabilidad una escala del 1 al 5, con la siguiente descripción:
Por otro lado, para la medición del impacto, siempre es útil preguntarnos “¿Qué pasa si pasa ese escenario de riesgo?” para poder determinar la escala que le vamos a asignar a esta variable. Por ejemplo ¿Qué pasa si un empleado de la organización soborna con dinero y viajes al responsable de Compras de un organismo público con el objetivo que la organización gane la licitación en curso? Si esto ocurriese, ¿La organización está sujeta a consecuencias penales? ¿Tendría un impacto reputacional, ya sea a nivel local o internacional? ¿Podría impedir que la organización cumpla con sus objetivos estratégicos? ¿Se podrían rescindir acuerdos con terceros por este motivo? Todas estas preguntas y muchas más son válidas para reflexionar y determinar el impacto del riesgo que estamos analizando. Así, la guía anteriormente citada nos brinda un cuestionario y una propuesta de clasificación para poder medirlo, tal como hicimos con la variable de probabilidad.
III) Mitigación de los riesgos: debemos pensar qué acciones pueden ejecutarse para aminorar el impacto del riesgo y/o su probabilidad de ocurrencia. Podemos pensar en dos grandes grupos de medidas: a nivel interno puede ser, por ejemplo, definición de un procedimiento que regule un determinado proceso, implementación de controles como mayores niveles de aprobaciones, bloqueos en sistemas y/o también la ejecución de entrenamientos al personal relevante del proceso en análisis. A nivel externo, pueden ser decisiones más macro como unirnos en una acción colectiva, participar de comités de integridad a nivel industria y/o con el estado, firmar pactos de integridad con la cadena de valor, etc. Una vez que ejecutamos estas acciones, debemos volver a hacer la evaluación de riesgos del paso 2 pero en esta oportunidad, obtendremos el riesgo residual, es decir, el riesgo que queda una vez que ejecutamos las acciones mitigantes.
IV) Acción sobre los riesgos: debemos definir qué curso de acción tomaremos respecto al riesgo residual. Aquí se presentan varias opciones, tomando como referencia lo establecido en los “Lineamientos de Integridad para el mejor cumplimiento de lo establecido en los artículos 22 y 23 de la Ley N° 27.401 de Responsabilidad Penal de Personas Jurídicas” emitido por la Oficina Anticorrupción de Argentina.
Eliminar el riesgo: puede implicar la discontinuación de alguna actividad y/o proceso, la prohibición de alguna práctica de negocios y/o terminar acuerdos con determinados clientes y/o proveedores.
Mitigar el riesgo: como mencionamos anteriormente, aquí procuramos reforzar los controles que están a nuestro alcance para disminuir el impacto y/o la probabilidad de ocurrencia.
Tercerizar el riesgo: es difícil cuando hablamos de riesgos de corrupción ya que no se puede contratar un seguro como sí podría ser el caso cuando hablamos de riesgos financieros.
Asumir los riesgos: si ninguna de las anteriores opciones es viable, solo nos queda la opción de asumir los riesgos, siendo muy conscientes de esta decisión porque no es lo más recomendable. Podría percibirse que no estamos manejando adecuadamente los riesgos.
V) Monitoreo de los riesgos: este paso es fundamental para poder determinar si todo lo que hicimos hasta este momento fue efectivo, ya sea para disminuir el impacto y/o la probabilidad de ocurrencia de los riesgos. Aquí es donde vemos la realidad de las actividades, de cómo se están ejecutando, cómo se están documentado, etc. En este sentido, debemos determinar la frecuencia y quien será responsable del monitoreo de los riesgos. Y debemos estar preparados para seguramente encontrar desvíos, pero de ser así, tenemos que ser conscientes que este es un escenario ideal ya que es mejor la auto-identificación de desvíos por parte de la propia organización a que esos desvíos puedan ser capturados por las autoridades regulatorias y que nosotros, como organización, desconozcamos que existían. Entonces, en caso de identificarse estos desvíos, es de suma relevancia entender el “por qué” se generaron para poder luego determinar el plan de acción que sea efectivo para remediar la situación. A este “por qué” en la jerga de Compliance se lo conoce como causa raíz que generalmente se clasifican en 3 cuestiones, aunque muchas veces se trata de una combinación:
Procesos: falta de procesos y/o controles adecuados
Personas: falta de recursos, falta de claridad en los roles y responsabilidades y/o personal no entrenado y/o no apto para la tarea;
Cultura: falta de tono ético por parte de la alta dirección, presión para alcanzar los objetivos, definición de incentivos inapropiados, falta de compromiso y/o colaboración, trabajo en silos, etc.
Para concluir, si bien parece algo obvio para los que manejamos este tema en forma habitual, recalcamos la importancia de la documentación que respalde todo este proceso. Tal como mencionamos inicialmente, la evaluación de riesgos tiene implicancia jurídica y es un instrumento que puede jugar a nuestro favor, siempre y cuando esté bien realizado y documentado, a la hora de defendernos como organización ante un cuestionamiento por parte de las autoridades regulatorias frente a un caso de corrupción. Con documentación nos referimos, por ejemplo, minutas de las reuniones con las personas que participaron de la identificación de los riesgos, matriz de riesgos completa con la evaluación de los mismos, papeles de trabajo de los monitoreos, presentaciones de los resultados al órgano directivo, etc. En este sentido, vale la pena recordar al respecto lo que establecen los lineamientos de integridad anteriormente mencionados:
“La existencia de un Programa y su carácter adecuado son, dentro del proceso penal, cuestiones de hecho y prueba”.
Por lo tanto, volvemos a enfatizar la importancia de conocer los riesgos de la organización, tomar decisiones en base a ellos, evaluarlos, implementar todas las medidas que estén a nuestro alcance para poder mitigarlos y, por último, monitorearlos, siendo esto un proceso circular. Todas estas instancias deben estar siempre avaladas por documentación que nos permita acreditar y explicar todo lo que se hizo dentro de la organización, tanto en lo que respecta a la evaluación de riesgos como a la prevención efectiva de la corrupción, objetivo inherente a todo programa de integridad.
Aspectos prácticos de la evaluación de riegos
Hasta ahora expusimos la parte teórica. En línea con el título del presente artículo, quisiéramos compartir las 10 preguntas habituales que surgen cuando realizamos este ejercicio de evaluación de riesgos en la práctica:
¿Cuál es el rol del Oficial de Cumplimiento (Compliance Officer) dentro de este proceso?
El oficial de Cumplimiento debe ser el facilitador de este ejercicio, haciendo las preguntas atinadas, asegurando que las áreas estén bien representadas en la discusión, asignando roles y responsabilidades dentro del proceso. En definitiva, es quien debe coordinar las acciones para que este ejercicio suceda, pero de ninguna manera, debe percibirse que este proceso es únicamente del área de Cumplimiento. En este sentido, es clave el apoyo del Directorio y la alta gerencia para garantizar que este ejercicio realmente agregue valor a la organización y a su programa de Integridad en su conjunto.
¿Cuál es el rol de la alta dirección en este proceso?
La alta dirección es el órgano que debe procurar que este ejercicio se haga en forma consciente y no solamente para cumplir con el requisito como práctica recomendada dentro del programa de Integridad. Bien sabemos que la efectividad de cualquier programa de integridad empieza con el tono ético (tone at the top) y si nos referimos particularmente a este proceso, esto se traduce a que deben involucrarse, que deben participar activamente tanto en el debate de la identificación de los riesgos como en la evaluación y el monitoreo, que deben tomar decisiones de todo tipo siempre en base al análisis de riesgo correspondiente, lo cual implica que muchas veces deben tomar decisiones difíciles indicando qué tal o cual actividad se deje de hacer en virtud del riesgo que conlleva. En particular, en la etapa del monitoreo, es quien debe incentivar a que estos monitoreos se hagan, no solamente para encontrar desvíos sino una mirada positiva como una forma de mejora continua y de corregir aquellas situaciones que, en definitiva, exponen a la organización a riesgos, pero también a nivel personal como parte del órgano directivo.
¿Cuál es la frecuencia con la que debemos realizar este proceso?
Lo recomendable es hacerlo, por lo menos, una vez al año. Ahora bien ,los riesgos son contextuales y dinámicos por eso, su análisis debe ser continuo, guardando relación con la dinámica de negocios. Así, puede ser que haya situaciones de la organización que ameriten que este ejercicio se tenga que reiniciar. Debemos pensar estas situaciones como estratégicas para la vida de la organización que tienen gran impacto ej. Apertura de un nuevo negocio en una nueva ciudad y/o país, reestructuración de la organización, adquisición de una nueva compañía y/o fusión con otra, apertura de una planta, cambios en el modelo de negocio y que implique interacción con funcionarios públicos que anteriormente no se tenía, y así muchas más situaciones. Si hacemos referencia al impacto del COVID 19 en todo este análisis, me consta que muchas organizaciones han tenido que revisitar su matriz de riesgos definida al comienzo del año en virtud que sus riesgos cambiaron considerablemente.
¿Cómo incide el factor de la diversidad en este proceso?
El factor de la diversidad es sumamente importante, especialmente al inicio para la identificación de los riesgos y ni hablar para aquellas organizaciones que emprenden en esta aventura de la implementación de un programa de integridad. Por un lado, debemos asegurarnos que participen los actores claves en el ejercicio entendidos como la alta gerencia, el oficial de cumplimiento, pero asimismo, es de extrema relevancia la participación de representantes de diferentes áreas, jerarquías, edades, género, profesiones, etc. de manera tal que esa identificación sea lo más exhaustiva posible e incluso, podríamos pensar en convocar a personas ajenas a la organización que puedan complementar nuestra perspectiva interna sobre riesgos. Así, si las personas que participan son de la misma área, de la misma jerarquía, con la misma profesión y género, entre otras variables, lo más probable es que todos visibilicen los mismos riesgos. Aquí se desprende el concepto de sesgos inconscientes que si bien es un tema que ameritaría un artículo exclusivamente dedicado al mismo, cobra una relevancia tal en la construcción de este ejercicio que es meritoria su alusión. Los sesgos inconscientes son pensamientos y creencias que las tenemos tan arraigadas en nuestros modelos mentales que ni nos damos cuenta pero que influyen directamente en la forma en que operamos, vemos la realidad y en definitiva, tomamos decisiones. Todas las personas tenemos dichos sesgos y lo importante es poder reconocerlos y trabajar para que seamos conscientes. En este sentido, cuando hablamos de riesgo, es probable que una determinada situación riesgosa no sea visible por un área porque es un “punto ciego” marcado por nuestros sesgos pero sí por otra y lo mismo ocurre con las otras variables mencionadas. Por lo tanto, cuanto más diverso sea el panel de participantes, más riesgos se podrán identificar y mitigar y en definitiva, más efectivo será el ejercicio de evaluación de riesgos.
¿Qué buenas prácticas se recomiendan para fomentar la toma de decisiones basadas en riesgos?
Antes de comenzar con este ejercicio como tal, siempre es recomendable hacer alguna charla o taller de concientización de la temática, explicando el por qué y para qué se hace, comunicando las expectativas del proceso e invitando a todos los que participen del mismo. Muchas veces se presume que todos los que participan, por estar en un rol, área o jerarquía determinada saben del tema, pero no siempre es así por lo que es bueno homogeneizar el conocimiento. Asimismo, no solamente es válido esperar a hacer la construcción de la gran matriz de riesgos a nivel organizacional, sino también es considerado una buena práctica hacer un análisis a nivel más detallado, por ejemplo, en una determina unidad de negocios, o cuando vamos a dar inicio a una nueva actividad comercial, o cuando vamos a firmar un nuevo acuerdo con un cliente importante, etc. Estos análisis a nivel “micro” también contribuyen muchísimo a fortalecer el pensamiento basado en riesgos en el día a día de la organización. Y en este sentido, sobre todo para aquellas organizaciones que hacen el ejercicio por primera vez, es importante el reconocimiento. Aunque a veces parezcan minúsculas las contribuciones que una persona o un área haga, es importante reconocer estas actitudes y acciones porque pueden generar un efecto virtuoso en el resto de la organización a la hora de hablar de riesgos.
En la etapa de monitoreo de riesgos ¿A qué nos referimos cuando hablamos de medidas efectivas?
Nos referimos a medidas que eviten que el desvío se vuelva a producir. En la última guía de “Evaluación de Programas de Compliance” emitido por la DOJ en Junio 2020, justamente hace referencia a la hora de evaluar cómo funciona el programa de Compliance de una organización cómo la misma haya incorporado las lecciones aprendidas de las situaciones de mala conducta y/o los propios desvíos de los procesos en sus procesos actuales, en la actualización de los contenidos de los entrenamientos, en su cultura, todo con el único objetivo de evitar que vuelva a suceder y que en definitiva, la organización haya aprendido lo suficiente en la materia.
¿Qué pasa cuando existe un área con riesgo alto (ej. Donaciones) y a pesar de haber implementado varias medidas de mitigación sigue con esa clasificación?
Esto es lo que se denomina como “riesgo residual”, aquel riesgo que continua después de haber implementado las medidas de mitigación. Sí es importante reflexionar sobre algunas cuestiones cuando sucede esto. En primer lugar, debemos cuestionarnos si esas medidas de mitigación fueron efectivas o no. Y para ello, es relevante la aplicabilidad del análisis de causa raíz que mencionamos anteriormente. Muchas veces invertimos tiempo en diseñar un nuevo proceso, entrenamos al personal, hacemos concientización del tema y otras actividades afines, pero sigue habiendo desvíos en los monitoreos que realizamos. Por lo que tenemos que preguntarnos el detrás de esos desvíos ya que puede haber cuestiones más de fondo que impacten como podría ser la cultura de la organización y el tono ético o falta de incentivos para una conducta ética. Por otro lado, esta situación también puede ser un disparador para preguntarse a nivel directivo si ese riesgo debe ser directamente eliminado, discontinuando la actividad. Aunque también es válido reflexionar que puede haber áreas de riesgo que son inherentes al tipo de actividad de la organización. Por ejemplo, si una compañía tiene el 80% (por mencionar un porcentaje considerable) de su negocio basado en obtención de licitaciones públicas, seguramente el riesgo relacionado con la interacción con funcionarios públicos siempre estará clasificado como alto por el mismo modelo de negocios y aquí es donde debemos asegurarnos que las medidas de mitigación (entrenamientos, controles en el proceso, etc.) se mantengan en el tiempo y que sean efectivas.
¿Qué área debe ser la responsable de monitorear los riesgos?
Depende mucho de la estructura de la organización. Puede ser la función del Oficial de Cumplimiento o la función de auditoría, si es que existe o en algunas situaciones, también se puede decidir sobre la tercerización de este tipo de tarea, lo cual tiene sus ventajas en cuanto a la independencia de la revisión. Asimismo, una buena práctica en términos de monitoreo son los monitoreos realizados por las propias áreas de negocio cuando se trate de actividades recurrentes. Por ejemplo, si consideramos el proceso de donaciones, aquel que sea el responsable interno de gestionar este tipo de actividades puede auto-monitorearse siguiendo determinadas pautas que el Oficial de Cumplimiento puede instruir o también es recomendable hacer monitoreos cruzados entre empleados de diferentes áreas, siempre en un marco de confianza y un espíritu de mejora continua.
¿Esta metodología de evaluación de riesgos solo aplica para los riesgos de corrupción?
No. Esta metodología sirve para la evaluación de todos los riesgos de la organización tales como los financieros, legales/regulatorios, de la cadena de suministro, etc. Incluso, si miramos la evolución de los programas de integridad, los programas más avanzados no solamente abordan los temas de corrupción sino otros tales como medioambientales, derechos laborales, calidad, diversidad y género, privacidad de datos, etc. con lo cual estas evaluaciones de riesgos también se tornan más complejas, pero a la vez, más exhaustivas en el entendimiento que muchas áreas de riesgos se interrelacionan y las medidas mitigatorias pueden ser más efectivas, “atacando” varias cuestiones al mismo tiempo.
Muchas veces se menciona el tema de apetito o tolerancia al riesgo, ¿Cómo impacta este tema en la evaluación de riesgos?
Efectivamente, el apetito o la tolerancia al riesgo son cuestiones que se abordan cuando hablamos de evaluación del riesgo. Si bien son dos conceptos diferentes, es válido aplicar dichos conceptos cuando hacemos evaluaciones de riesgos con una mirada más comercial o financiera donde el desvío al riesgo esperado puede ser admitido y las consecuencias pueden ser de índole más interna, por ejemplo, invirtiendo en un determinado mercado cuyo pronóstico de crecimiento es casi nulo a corto plazo, pero puede ser exponencial en el largo plazo. Entonces, sin duda esa inversión tiene un apetito de riesgo. Cuando hablamos de temas de corrupción, la tolerancia o el apetito debe ser cero, marcada por la alta dirección de la organización. Ninguna organización se puede dar el lujo de tener apetito de riesgo en este sentido ya que el impacto del mismo puede ser demasiado grave, incluso puede instar a la extinción de dicha organización.
¿Todavía tenemos cuestiones para aprender sobre la evaluación de riesgos?
Habiendo dicho todo lo anterior, yendo del marco teórico al recorrido por las preguntas frecuentes que se generan a la hora de hacer este ejercicio en la vida real, aún queda la pregunta si realmente las organizaciones consideran este ejercicio como clave y con un enfoque preventivo. Y nos planteamos este interrogante porque si hablamos del contexto que vivimos, ¿podríamos imaginarnos cuántas organizaciones efectivamente han podido anticipar los riesgos relacionados con el COVID 19 y la ventaja que les hubiera traído, no solamente desde el punto de vista de integridad sino también como ventaja competitiva? Seguramente sean muy pocas las que realmente previeron ese riesgo y su impacto y pudieron tomar medidas efectivas para aminorarlo. Por lo que debemos considerar este contexto como un aprendizaje para hacer de este ejercicio de alto valor para las organizaciones, tanto desde la perspectiva de Compliance sino también desde el mundo de los negocios.
El contenido de este artículo es exclusiva responsabilidad de la autora y no refleja ni compromete la posición ni la opinión de la compañía para la cual trabaja ni las organizaciones que representa.