“LA GUERRA DEL COMPLIANCE (Abogados Vs. Consultores)”, donde menciona una “guerra” no visible y que se produce las “sombras del mercado” y cuyo único resultado es que muchas organizaciones no puedan abordar de forma eficaz el Riesgo Inherente que asumen derivado de sus actividades diarias y los requisitos legales y regulatorios que se están estableciendo en el mundo y en los diferentes países.
“al tener un mal sistema de cumplimiento o prevención de delitos es el mismo que el de no tener nada (con la única ventaja aparente de haberse ahorrado los costos de asesoramiento)”.
Como ejemplo de lo anterior podemos mencionar el caso de VW en el año 2016, donde manipulo los vehículos diésel con un software especial:
VW manipuló sistemáticamente los vehículos diésel con un software especial que le permitió pasar las pruebas de emisiones de Estados Unidos, de manera manipulada y sin reunir las especificaciones de la EPA.
Consecuencias:
- Caída del 31.08% en la bolsa de Alemania, lo que representa una pérdida aproximada de 24,510 millones de euros (22,085 millones de dólares) en el valor de capitalización, Reuters.
- $18,000 millones de US: multa de la EPA a la que se enfrenta en estados unidos
- 11 millones: autos en todo el mundo que podrían estar afectados y que podrían ser llamados a ser modificado el software, 500,000 unidades se vendieron en EU desde el año 2009
- Posibles demandas por parte de los consumidores (monto sin estimar)
- Daño a la imagen corporativa del principal vendedor de autos Alemana
- La caída de su CEO, Martin Winterkorn, justo 48 horas antes de la extensión de su contrato.
- La peor crisis en la historia de Volkswagen
En mi opinión personal Como todo en la vida, la idea es sumar no dividir, si dividimos restamos el valor que debemos generar en nuestras organizaciones. En el área de Compliance NO se debe de hablar únicamente de abogados contra consultores de sistemas de gestión, sino también de personas especializadas en gestión de riesgos, desarrollo y cultura organizacional y dirección y gestión de proyectos (entre otros).
Las organizaciones deberían evitar caer en el error de la lucha de criterios, que a lo largo de los últimos años se está llevando a cabo para defender los siguientes postulados:
- Contar con los servicios de un equipo de abogados ya que “realmente son los que saben de legislación y cumplimiento” demonizando la figura de los consultores.
¿Puede un Consultor, sin experiencia de leyes, jurisprudencia y similares hacer una buena identificación de riesgos de aplicación en el ámbito legal, etc.?
- La necesidad de consultores en sistemas de gestión ya que los “abogados no saben de sistemas”.
¿puede un abogado sin experiencia en desarrollar e implementar sistemas de gestión asesorar en la compleja aplicación de controles, indicadores e información que debe contener un sistema de este tipo?
Un eficaz modelo de gestión, debe de ser un sistema integral y equilibrado, que considere en sus partes tanto al área legal y a consultores de diferentes áreas de conocimiento, incluyendo por supuesto a los relacionados con sistemas de gestión, lo cual requeriría disponer individualmente o en conjunto de los siguientes conocimientos y experiencia:
- Formación y experiencia en materia legal del área de cumplimiento en cuestión
- Formación y experiencia en materia de Sistemas de Gestión en general y del área de cumplimiento en cuestión
- Conocimiento de gestión de riesgos y de sus normas, como podrían ser: ISO 31000, ISO 31004 e ISO 31010, COSO, COBIT, etc.
- Conocimiento en Gestión y Dirección de Proyectos, ISO 21500, PMBOK, etc.
- Conocimiento de Desarrollo y cultura organizacional.
- Conocimiento sólido de ISO 19600 (Sistemas de gestión de Compliance)
- Dominio de ISO 19011 (para la auditoria de eficacia del sistema)
- Conocimiento en normas específicas dependiendo del área de Compliance en cuestión.
Adicionalmente a los puntos anteriores, se debería de establecer un modelo integral de gestión de riesgos, como podría ser:
El MODELO DE GESTIÓN DE RIESGOS Neural Risk:
Objetivos
Objetivo general:
Incorporar en la organización de manera integral un modelo practico, estructurado y eficaz, que reduzca la incertidumbre de forma consistente incrementando la probabilidad de alcanzar los objetivos estratégicos o de proyectos específicos se lleven a cabo.
Objetivo específico:
Eliminar las barreras y obstáculos que limitan el cumplimiento de los objetivos y metas, y reducir los efectos negativos derivados de:
- Falta de cumplimiento de los objetivos y metas operativas establecidas.
- Decisiones erróneas por utilizar información incorrecta, no oportuna, incompleta o poco confiable.
- Exposición a pérdidas financieras.
- Fallas y errores en la salvaguarda de los activos.
- Insatisfacción de clientes, publicidad negativa y daño a la reputación de la empresa.
- Incumplimiento de políticas, planes, procedimientos y del marco regulatorio.
- Adquisición de bienes, de forma antieconómica, o uso de los recursos de forma inefectiva e ineficiente.
Alcance
El Modelo puede ser utilizado (con sus debidas adecuaciones de la propia actividad inherente de la organización), por cualquier: dependencia pública, privada, comunidad empresarial, asociación, grupo o persona. No siendo específica a ninguna industria o sector.
El Modelo puede ser aplicado a través de la vida de una organización y para un amplio rango de actividades, incluyendo estrategias y decisiones, operaciones, procesos, funciones, proyectos, productos, servicios y bienes o activos. Se aplica a cualquier tipo de riesgo de cualquier naturaleza, no importando si tiene consecuencias positivas o negativas.
Requisitos a alto nivel
Para la aplicación eficaz del Modelo de Gestión de Riesgos Neural Risk, es recomendable que la organización, incorpore los siguientes requisitos de alto nivel:
- Compromiso total de la alta dirección hacia la gestión de riegos, que el proceso fluya de arriba hacia abajo
- Asignación de recursos, humanos, materiales, financieros, tecnológicos y tiempos
- Decisión de incorporar al riesgo y su gestión dentro de la cultura de la organización
- Iniciar el proceso de incorporación del Modelo de Gestión de Riesgo con un proyecto piloto
Beneficios
Los beneficios de incorporar a la organización el Modelo de Gestión de Riesgos Neural Risk, son los siguientes:
- Aumenta la probabilidad de alcanzar los objetivos organizacionales en todos sus niveles
- Fomenta la administración (gestión) proactiva de los riesgos
- Crea la conciencia de la necesidad de identificar y tratar el riesgo en toda la organización
- Reduce la incertidumbre, mejorando la identificación de oportunidades y amenazas
- Mejora el cumplimiento de requisitos legales, reglamentarios pertinentes y normas internacionales
- Mejora los informes obligatorios y voluntarios
- Mejora la gobernabilidad
- Mejora la confianza y la aceptación de las partes interesadas
- Establece bases confiables para la toma de decisiones y planificación
- Mejora los controles establecidos
- Asignación y utilización eficaz de los recursos establecidos para el tratamiento de riesgos
- Mejora la eficacia y la eficiencia operativa de la organización
- Mejora la salud y desempeño de seguridad, así como la protección del medio ambiente
- Mejorar la prevención de pérdidas y la gestión de incidentes
- Minimiza las pérdidas de la organización
- Optimiza la asignación de recursos para la gestión de riesgos
- Mejora el aprendizaje organizacional respecto a los riesgos y su gestión y
- Mejora la cultura y la resiliencia organizacional
Elementos clave
Los principales elementos clave que incorpora el Modelo de Gestión de Riesgos Neural Risk, son los siguientes:
- Simplicidad
- Diagnóstico de la situación actual como punto de partida para del modelo de gestión de riesgos de la organización
- Establecimiento del marco de referencia (Conjunto de componentes que proporcionan las bases y acuerdos de la organización para diseñar, implementar, monitoreo, revisar y la mejora continua de la gestión de riesgos en la organización)
- Iniciar el proceso de riesgo con un proyecto piloto
- Establecer la figura de comité de riesgos y del responsable de Gestión de Riesgos en la organización
- La gestión de riesgos como parte integral de la toma de decisiones y proveniente de inicio de la parte alta de la organización
- Establece un lenguaje común para la gestión de riesgos
- Operar con el concepto de dueño de riesgo, estableciendo roles y responsabilidades en la Gestión de Riesgos
- Convencimiento de la conveniencia en los niveles directivos, gerenciales y departamentales del Modelo de Gestión de Riesgos, Incrementando el grado de concientización sobre la importancia de la administración de riesgo eficaz
- Establecer un consenso de todas las partes respecto a la exposición al riesgo
- Creación de una cultura de riesgos que permita la identificación, reporte y corrección de riesgos
- Mantener una visión clara de los riesgos
- Establece un proceso uniforme para la Gestión de Riesgos e implementar un proceso de reporte
- Implementar medidas de riesgos e indicadores de alertas temprana
- Determinar los perfiles de riesgos en cada una de las áreas del negocio
- Involucrar a las partes interesadas
- Asegurar los recursos humanos. financieros y distribución de equipos y materiales para el proceso de gestión de riesgos
- Incluir las lecciones aprendidas en el Modelo de Gestión de Riesgos
- Identificación e implementar herramientas para la identificación, evaluación, tratamiento, seguimiento y control y mejora continua de la gestión de riesgos.
- Incluir un modelo de gestión y dirección de proyectos para el desarrollo e implementación del Modelo de Gestión de Riesgos
Procesos o sistemas empresariales afectados
En la integración del modelo se afecta a la organización en sus diferentes ámbitos:
Modelo
El modelo para su desarrollo incluye las siguientes cuatro etapas:
- Fase 1: Diagnostico
- • Diagnóstico de situación actual de la organización, comprensión de la organización, contexto y prácticas de riesgos,
- • Análisis de brecha de prácticas actuales contra el modelo.
- Fase 2: Integración de principios y Establecimiento o adecuación del Marco Referencia
- • Capacitación y sensibilización inicial
- • Integración de principios de gestión de riesgos a los elementos estratégicos de la organización
- • Establecimiento y/o adecuación del Marco Referencia.
- • Desarrollo de plan de implementación.
- Fase 3: Integración e implementación del modelo de gestión de riesgos
- • Implementación, mantenimiento, seguimiento y revisión continua.
- Fase 4: Continuidad
- • Asegurar que los resultados se mantengan.
- • Asegurar la mejora continua y la vigencia del modelo.
- • Integrar el modelo en la cultura organizacional
Resumen:
El Compliance es un tema muy serio que no se puede ser abordado con ligereza por las organizaciones, el riesgo que asume una organización al tener un mal sistema de cumplimiento o prevención de delitos es en ocasiones el mismo o mayor que el no tener nada, ya que ahora tenemos una confianza aparente de que nuestra organización está cubierta, además de que estamos destinando recursos de la organización sin un resultado real.
La clave esté en la «Cooperación e Integración», formar un equipo multidisciplinarios, que incluya: abogados, consultores y expertos en la materia, que sean capaces de tener una visión integral de las necesidades de la organización y del sistema integral de cumplimiento regulatorio, que sea capaz de realizar un trabajo profesional y completo que cumpla con los objetivos específicos y estratégicos de la organizaciones.