Blog

Compliance Canvas. Tengo la matriz de riesgo, el modelo actualizado, todos capacitados...¿funciona mi programa?

Escrito por Gerardo Riquelme | Jan 3, 2024 5:57:26 PM

¿Cómo me entero si estoy cubierto en el día a día?

Qué entienden los fiscales por programas efectivos?

Nuestra opinión es que el impacto que está teniendo la nueva ley de delitos económicos se debe a que fuerza a las organizaciones a hacerse cargo de manera efectiva de sus riesgos legales. Esto no es nuevo, Hui Chen, consejera experta en Compliance que asesoró al Departamento de Justicia norteamericano (DOJ) y es autora de la "Guía de Evaluación de Programas de Compliance Corporativos", resume lo que se espera de manera muy simple:
  • "Comprender y ser capaz de explicar tus riesgos: Las organizaciones necesitan evaluar qué riesgos o problemas potenciales podrían encontrar sus empleados. Chen dijo que la forma en que ella ha evaluado la credibilidad de un programa de cumplimiento fue simplemente preguntando al oficial de cumplimiento: “Háblame del perfil de riesgo de tu organización". La mitad de las veces, los oficiales de cumplimiento no podían responder a esta pregunta.”
  • Usar el sentido común: ¿Qué en el documento es relevante para tu organización? ¿Cómo piensa tu organización acerca de sus programas? ¿Cómo vas a medir el éxito? Las organizaciones exitosas se harán constantemente estas preguntas como parte de una sana autoevaluación.
  • Enfocarse en las métricas: Los programas de cumplimiento están supuestos a prevenir y detectar actos criminales. Demostrar la habilidad de prevenir y detectar irregularidades requiere contar la historia de la efectividad a través de análisis y métricas. Es una cosa decir que tienes un programa efectivo, es otra mostrar que tienes un programa efectivo."
En la práctica se espera que gestionen sus riesgos como gestionan su negocio. El foco de los programas debe ser hacer negocios de la manera correcta, lo que implica que compliance debe ser parte de la gestión y no una actividad aparte que se confunde con auditoría.

Las prácticas actuales no se hacen cargo de la efectividad.

Por el contrario a lo que se espera, la mayor parte opera modelos con un enfoque formalista y este cambio encuentra a las organizaciones en una posición débil. En este artículo, Hui Chen comenta 7 signos de un programa de compliance poco efectivo, a modo de ejemplo: compliance dominado por legal, guías basadas en criterios legales y foco en métricas que no son válidas, como por ejemplo personas capacitadas. El enfoque formalista se refiere a que se hacen actividades para abordar la parte legal del riesgo, sin abordar la ejecución de controles y la gestión.


Compliance Canvas: validación que mis ejecutivos y supervisores están cumpliendo su rol.

El desafío entonces, dentro de toda esta complejidad, es cómo directores y ejecutivos pueden gestionar la adopción de los programas. Una vez que se hizo el levantamiento de riesgos, se actualizó la matriz y el modelo y están todos capacitados, en nuestra experiencia no hay una guía simple que aborde la pregunta de "¿qué tengo que hacer?". Si la respuesta es una matriz con una cantidad de líneas que se cuenta en centenas, tenemos un problema. Para abordar este desafío, hemos desarrollado el Compliance Canvas, basado en el concepto del ampliamente utilizado Business Canvas. El objetivo en este caso es simple: resumir en una lámina lo que un director, ejecutivo o responsables de controles tiene que saber de sus riesgos y el programa. Algunos de los puntos del Compliance Canvas son:

  • Estrategia: ¿Cuáles son nuestros riesgos críticos? ¿Cómo estamos priorizando abordarlos?
  • Riesgos: ¿Cuáles son los riesgos en los que tengo un rol y cuál es mi rol en mitigar estos riesgos?
  • Roles: Dentro del programa, ¿cuál es mi rol? ¿Cuál es el rol de compliance?
  • Integración: ¿cómo se integra el programa con otros como de calidad o sostenibilidad?

Sistemáticamente le respuesta a estas preguntas es no lo tengo claro o una explicación de áreas responsables, políticas y capacitaciones. El objetivo entonces es que la implementación de los programas entregue esta claridad a todos los roles como parte de sus entregables. Con esto directores y ejecutivos van a poder ser más asertivos en evaluar si los distintos roles están ejecutando de manera efectiva los controles o si el programa que se implementó cae dentro de la categoría de formalista.

Siguientes pasos: se viene Marzo y los plazos para implementación van a ser estrechos.

Este enfoque nace de nuestro diagnóstico de los programas de compliance, donde vemos que este enfoque formalista viene de la complejidad y limitaciones de recursos que hace difícil a las áreas de compliance aborden las necesidades de los distintos stakeholders de los programas para ser efectivos en su rol. Para nosotros GRC (Governance Risk and Compliance) es una moneda de dos caras: una formal, que tiene que ser profesional y sólida, de la perspectiva legal y de riesgo, y otra de gestión, que se hace cargo de cómo el programa encaja en el día a día de los responsables de los controles. Vemos que las organizaciones tienen mucho apoyo en lo formal, que es la primera etapa, y poco en la gestión que es el día a día. 

Se habla de los más de 200 delitos de la ley de Delitos Económicos, pero es peor porque son más de 400 conductas. Las organizaciones que partieron hace poco con la actualización de sus modelos van a recibir, probablemente en marzo, un modelo que cuya complejidad va a ser múltiplos de la complejidad de los modelos actuales. Nuestra preocupación es que si no consideran un enfoque simple y pragmático, enfocado en las necesidades de los directores y ejecutivos que tienen que gestionar la ejecución del programa, van a terminar la etapa de implementación del programa con todos capacitados y con poca claridad de los siguientes pasos. Para nosotros el Compliance Canvas no solamente cumple el rol de apoyar a directores y ejecutivos, sino que también sirve para no perder el norte dentro de tanta complejidad: con esto que estamos haciendo, tenemos que ser capaces de explicarle al Gerente(a) de Operaciones lo que le toca en su rol. Sin este filtro, sin foco, la cantidad de cosas por hacer es interminable y la única alternativa es capacitar en todos los riesgos y controles y esperar que se haga su propia idea de sus responsabilidades.

El tema es que la temporada de vacaciones se va a pasar rápido, la fecha clave para la ley es Agosto del 2024. Se viene Marzo y los plazos para implementar van a estar estrechos.