«La gobernanza de IA no es solo una tendencia, es una necesidad para garantizar el desarrollo sostenible de esta tecnología».

Camila Carnés

1. Introducción.

La inteligencia artificial está transformando la manera en que trabajamos, tomamos decisiones y nos relacionamos con la tecnología. Desde modelos de recomendación hasta sistemas de automatización en sectores críticos, su impacto es innegable. Sin embargo, para que la IA sea un verdadero motor de innovación, debe desarrollarse y usarse con responsabilidad, garantizando transparencia, equidad, cumplimiento normativo y sobre todas las cosas, respetando los derechos humanos fundamentales.

Como especialista en gobernanza de IA y protección de datos en Latinoamérica, veo a diario como empresas y organismos buscan equilibrar el potencial de la IA con los desafíos regulatorios que plantean normativas de protección de datos como la LGPD en Brasil, la Ley Federal de Protección de Datos en México, la Ley de Protección de datos en Colombia o Argentina, entre otras. En paralelo, marcos internacionales como el NIST AI Risk Management Framework, la norma ISO/IEC 42001 y el EU AI Act están sentando las bases de una gobernanza efectiva a nivel global así como respecto de proyectos de ley sobre IA emergentes en toda la región.

2. ¿Por qué es clave la gobernanza de IA?

Porque nos permite asegurar que los sistemas de IA sean:

1) Transparentes y explicables para generar confianza en usuarios y reguladores.

2) Éticos y justos para mitigar sesgos y discriminación algorítmica.

3) Seguros y resilientes ante ataques y vulnerabilidades.

4) Conformes con la normativa vigente para evitar sanciones y proteger derechos fundamentales.

3. Buenas prácticas en gobernanza de IA.

3.1. Transparencia y explicabilidad.

La IA no puede ser una «caja negra». Para que los sistemas sean auditables y comprensibles, es clave seguir marcos como el NIST AI RMF y la ISO/IEC 42001, documentando decisiones algorítmicas y asegurando trazabilidad en los modelos. Además, todos los proyectos de ley sobre IA en LATAM, cuentan con el requisito de explicabilidad y transparencia, algunos accionables que destaco son:

• Documentar contrataciones de terceros.
• Documentar risk assessments de cada proyecto.
• Adoptar metodologías de explicabilidad apropiadas al nivel de riesgo del modelo.
• Establecer canales de comunicación con stakeholders para brindar información accesible y comprensible sobre el uso de IA.
• Permitir auditorías y validaciones para garantizar la trazabilidad y confiabilidad de los modelos.
• Documentar modelos de IA con información clara sobre su diseño, entrenamiento y decisiones.

3.2. Privacidad desde el diseño.

Las leyes de protección de datos de Latinoamérica exigen que cualquier desarrollo, incluidos los de IA, garanticen la privacidad desde su concepción. Aplicar Privacy by Design, realizar Evaluaciones de Impacto en la Privacidad (DPIAs), disponibilizar declaraciones de privacidad que contemplen todas las finalidades, brindarle a los usuarios la posibilidad de ejercer sus derechos ARCO y minimizar la recolección de datos son pasos esenciales para cumplir con las regulaciones locales.

3.3. Mitigación de sesgos y equidad.

El EU AI Act clasifica los sistemas de IA según su nivel de riesgo y enfatiza la necesidad de mitigar sesgos algorítmicos. Auditorías continuas y uso de datos representativos son estrategias clave para evitar discriminación y sesgos en los modelos. Algunas recomendaciones son:

• Evaluar y corregir sesgos algorítmicos en las fases de entrenamiento y despliegue.
• Implementar auditorías periódicas para verificar el impacto de los modelos en distintos grupos poblacionales.
• Garantizar la diversidad en los conjuntos de datos y ajustar algoritmos para evitar discriminación.
• Seguir las recomendaciones del EU AI Act para sistemas de alto riesgo.

3.4. Gestión de riesgos.

Estándares internacionales como el NIST AI Risk Management Framework y la norma ISO/IEC 42001 establecen la necesidad de un marco de gobernanza con roles y responsabilidades claras. Los especialistas en riesgos sabemos que el riesgo 0 no existe, la mejor manera de gestionarlos es estar preparados para mitigarlos de la mejor manera posible, para eso, recomiendo:

• Definir una política de gestión de riesgos en IA basada en impacto y criticidad.
• Desarrollar un ciclo de vida de gestión de riesgos con procesos de monitoreo continuo.
• Desarrollar un catálogo de riesgos que contenga mitigantes y acciones claras de prevención.
• Implementar mecanismos de supervisión que incluyan auditorías internas y externas.
• Definir responsables para cada etapa del proceso.

3.5. Seguridad y robustez.

La seguridad en IA no es opcional. Implementar controles alineados con ISO/IEC 27001 y marcos de ciberseguridad del NIST ayuda a prevenir ataques, algunas recomendaciones son:

• Implementar protocolos de seguridad alineados con ISO/IEC 27001 y NIST Cybersecurity Framework.
• Proteger los modelos contra ataques adversos y manipulación de datos.
• Realizar pruebas de robustez y resiliencia antes del despliegue en producción.
• Asegurar la disponibilidad de un plan de respuesta ante incidentes de IA
• Desarrollar una política de incidentes de seguridad y privacidad.

3.6. Cumplimiento normativo y auditoría.

Desde el EU AI Act hasta las regulaciones emergentes en Latinoamérica, indican que las empresas deben asegurar que sus sistemas de IA sean auditables y cumplan con estándares globales y locales. La documentación clara y la supervisión regulatoria son fundamentales para evitar riesgos. Otro punto clave dentro de las empresas es promover la capacitación y concienciación en ética y cumplimiento en IA. Desde mi experiencia recomiendo:

• Mantener documentación detallada sobre decisiones, procesos y versiones de modelos de IA.
• Implementar mecanismos de auditoría continua para verificar la conformidad con normativas internacionales y locales.
• Crear un comité de gobernanza de IA para supervisar el cumplimiento y evaluar riesgos emergentes.
• Asegurar la alineación con marcos regulatorios en evolución en LATAM y marcos internacionales que servirán como base.

4. El futuro de la IA y de las personas, depende de cómo la gobernemos hoy.

Estamos viviendo un momento bisagra, similar al que se vivió con la creación de internet o de las máquinas y como pasa con todo lo nuevo, es difícil aprender a usarlo y más aún hacerlo de la mejor manera. En este momento es clave hacer red y compartir experiencias porque en un mundo donde la regulación y la tecnología evolucionan a gran velocidad, conectar con colegas nos permite aprender de quienes han abierto camino en el sector, compartir estrategias para afrontar desafíos regulatorios e inspirarnos y empoderarnos mutuamente para seguir impulsando el cambio.

Las empresas deben trabajar en conjunto con equipos legales, técnicos y de negocio para construir una IA confiable y alineada con los valores éticos y normativos. La gobernanza de IA no es solo una tendencia, es una necesidad para garantizar el desarrollo sostenible de esta tecnología.

¿Cómo está abordando tu organización la gobernanza de IA?

¡Sigamos la conversación!

Este artículo es de propiedad de su autora Camila Carnés y como tal goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG).  El contenido de este artículo es exclusiva responsabilidad de la autora y no refleja ni compromete la posición ni la opinión de la compañía para la cual trabaja ni las organizaciones que representa. 

Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada Gobernanza de IA: ¿Cómo construir inteligencia artificial confiable y responsable? se publicó primero en TODOCOMPLIANCE.

David Caballero, abogado de profesión, fundador de El Rincón del Compliance, y con amplia experiencia en materia de auditorías en sistemas de gestión antisoborno y compliance en América Latina, ha publicado, por intermediación del Fondo Editorial de la Universidad de Ciencias Aplicadas (UPC), su primer libro:  “El mundo de las auditorías de los sistemas de gestión antisoborno”.

Este libro se presenta como una guía dinámica para los lectores, ofreciendo una mirada profunda a los orígenes de la corrupción en el mundo, con un enfoque particular en América Latina, una región donde este fenómeno ha cobrado mayor protagonismo.

También, analiza las diversas acciones que los gobiernos han implementado para combatirla, proporcionando una visión integral de los esfuerzos por frenar su avance. Además, podrán encontrar cómo la norma ISO 37001, Sistemas de Gestión Antisoborno, se convierte en una herramienta necesaria para las instituciones públicas y privadas en su lucha contra el soborno, desde un punto de vista tanto ético como de gestión de procesos.

Asimismo, el libro contiene todo lo relacionado con el mundo de las auditorías: precisiones sobre los conceptos más importantes, la comprensión del contexto en que se desarrolla cada auditoría en remoto y las reglas básicas para antes, durante y después de efectuarla. A ello se suma una detallada interpretación de los principales estándares del sistema de gestión antisoborno, lo cual termina siendo una guía clara para todo aquel profesional que quisiera ingresar más a fondo al mundo de la norma ISO 37001.

Finalmente, el lector podrá acceder a un completo listado de preguntas referenciales organizadas por estándar, con lo cual conocerá mejor a la organización auditada y conseguirá así que el proceso finalice con óptimos resultados, con la redacción de cada tipo de hallazgo.

Los links para la compra virtual del libro son:

EPUB: https://libreriaeditorial.upc.edu.pe/library/publication/el-mundo-de-las-auditorias-de-los-sistemas-de-gestion-antisoborno

PDF: https://libreriaeditorial.upc.edu.pe/library/publication/el-mundo-de-las-auditorias-de-los-sistemas-de-gestion-antisoborno-1727726800

Descuento exclusivo para lectores de Todocompliance.com:  30% off aplicando el código AUDITORIA-30.

Más sobre David Caballero.

Entrevista a David Caballero

Este artículo es de propiedad de Todocompliance.com y como tal goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG).  Como tal, el contenido de este artículo es exclusiva responsabilidad de la autora y no refleja ni compromete la posición ni la opinión de la compañía para la cual trabaja ni las organizcaciones que representa. 

Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada David Caballero «El mundo de las auditorías antisoborno» se publicó primero en TODOCOMPLIANCE.

Desde el podcast de Build The Future de la Dra. María Luján Bianchi entrevistaron a la fundadora de la plataforma Todocompliance.com, María Josefina Orozco. 

Si estás comenzando tu camino en Compliance y buscás generar comunidad y alianzas no te podés perder este episodio (!).

Escuchalo por YouTube: https://lnkd.in/dVNWvU2a

o Spotify: bit.ly/4cQRImk

En este episodio del podcast, denominado «El desafío de crear comunidad en compliance», María Josefina Orozco, abogada especializada en derecho corporativo y fundadora de Todocompliance.com, relata su recorrido profesional y los motivos que la llevaron a crear esta plataforma. Todocompliance surgió en plena pandemia del 2020, cuando Josefina, al desarrollar un programa de integridad para su trabajo, se percató de que la información disponible sobre compliance estaba fragmentada y muchas veces ligada a intereses comerciales. Esto la inspiró a crear un espacio digital que unificara recursos sobre esta disciplina, dando visibilidad a eventos, capacitaciones y contenido relevante para los profesionales del área.

Josefina explica que el compliance es un campo multidisciplinario que abarca aspectos legales, financieros y de protección de datos, entre otros. Su objetivo con Todocompliance es hacer que la plataforma no solo sirva a expertos en el área, sino que también sea accesible para quienes están iniciando en este mundo o lideran pequeñas empresas. Entre los proyectos futuros de la plataforma se encuentra la creación de un diccionario de compliance o enciclopedia, pensado para aquellos que buscan familiarizarse con los términos y conceptos clave del sector.

En la segunda parte de la entrevista, Josefina profundiza sobre su experiencia personal como abogada interna, donde muchas veces se sintió aislada. Este contexto la llevó a buscar redes de apoyo, especialmente luego de convertirse en madre, momento en el que descubrió la comunidad de Women in Compliance. Gracias a esta red, pudo conectar con sus primeros clientes y colaboradoras, y comenzar a promocionar su sitio web, Todocompliance.com.

A lo largo de su trayectoria, Josefina ha logrado establecer alianzas con organizaciones como Forum, especializada en eventos y capacitaciones, y Master Law, una plataforma jurídica centrada en contenido para la región. Estas alianzas le han permitido ampliar su red y nutrirse de ideas y contactos en áreas clave como compliance, integridad, anticorrupción y ciberseguridad.

Josefina menciona que su visión a futuro es continuar creciendo en términos de seguidores y contenido en Todocompliance, democratizando el acceso al conocimiento sobre compliance, y haciéndolo accesible tanto para personas físicas como jurídicas. Quiere que su plataforma sea un recurso clave para fomentar una cultura de integridad, brindando información tanto a quienes desconocen el concepto como a profesionales que buscan mantenerse actualizados. También considera importante seguir fortaleciendo sus alianzas actuales y, en un futuro, desarrollar publicaciones o e-books que sigan esa línea.

Finalmente, invita a los oyentes a seguir sus actividades en Todocompliance.com y en LinkedIn, donde comparte activamente contenido y conecta con su audiencia, contribuyendo al desarrollo del compliance en la región.

Más sobre Build the Future/María Luján Bianchi.

Consultora Build the Future Dra. María Luján Bianchi

Más sobre María Luján Bianchi.

Entrevista a María Luján Bianchi

Este artículo es de propiedad de Todocompliance.com y como tal goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG).  Como tal, el contenido de este artículo es exclusiva responsabilidad de la autora y no refleja ni compromete la posición ni la opinión de la compañía para la cual trabaja ni las organizcaciones que representa. 

Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada Podcast BTF Comunidad en Compliance. se publicó primero en TODOCOMPLIANCE.

Desentrañando el tejido de la ética y la legalidad en el mundo empresarial.

«El Compliance es la sinfonía que armoniza la conducta empresarial con la melodía de la ley y la ética, una danza entre lo que es legal y lo que es correcto».

Emilio Piñeiro

1. Introducción.

En el vasto cosmos del mundo empresarial, el concepto de Compliance se alza como una constelación que guía a las organizaciones a través de la oscuridad de la incertidumbre regulatoria. No es meramente un conjunto de reglas a seguir, sino una cultura de integridad y transparencia que permea todos los niveles de una organización. Es la respuesta a un llamado por transparencia y responsabilidad en un mundo donde los escándalos corporativos llenan titulares y la confianza pública se ve sacudida.

Desde mis inicios en este campo, he visto cómo la falta de un sistema de cumplimiento efectivo puede llevar a consecuencias desastrosas, no solo en términos legales, sino también en la pérdida de reputación y confianza. Esta experiencia me ha inspirado a dedicar mi carrera a ayudar a las empresas a construir y mantener sistemas de compliance sólidos, no solo para evitar sanciones, sino para promover un ambiente de ética y responsabilidad que beneficie a todos.

2. Definición y alcance del Compliance.

El Compliance, o cumplimiento normativo, es un conjunto de procedimientos y buenas prácticas adoptados por las organizaciones para identificar, clasificar y gestionar los riesgos operativos y legales. Va más allá de la mera adhesión a las leyes; implica una cultura de integridad y transparencia que permea todos los niveles de una empresa.

Este concepto abarca varias áreas clave, como:

1. Cumplimiento Legal: Asegurarse de que todas las actividades de la empresa se realicen dentro del marco legal aplicable.
2. Cumplimiento Ético: Adoptar y promover estándares éticos más allá de los requisitos legales.
3. Prevención de Riesgos: Identificar y mitigar riesgos potenciales antes de que se conviertan en problemas.
4. Transparencia y Rendición de Cuentas: Garantizar que las acciones y decisiones empresariales sean claras y justificables.

El alcance del Compliance se extiende a todas las áreas de la empresa, desde la alta dirección hasta los empleados de nivel operativo. Esto implica un compromiso continuo con la educación y la formación, así como la implementación de políticas y procedimientos que respalden una cultura de cumplimiento.

3. Componentes de un ecosistema de compliance eficaz.

Un sistema de Compliance eficaz debe ser considerado como un ecosistema vivo, donde diversos elementos interactúan para crear un ambiente de integridad y cumplimiento.

Estos componentes incluyen:

3.1. Hard Law.

Las leyes y regulaciones jurídicamente vinculantes que las empresas deben cumplir. Esto incluye leyes laborales, de seguridad, ambientales, fiscales, entre otras.

• Leyes Laborales: Regulan la relación entre empleadores y empleados, incluyendo aspectos como salarios, horas de trabajo, condiciones laborales, y derechos sindicales. Cumplir con estas leyes es crucial para evitar litigios laborales y sanciones.
• Leyes de Seguridad y Salud Ocupacional: Aseguran que las empresas proporcionen un ambiente de trabajo seguro y saludable. Esto incluye el cumplimiento de normativas sobre equipos de protección, manejo de sustancias peligrosas, y procedimientos de emergencia.
• Leyes Ambientales: Implican la gestión adecuada de residuos, control de emisiones, y uso sostenible de recursos naturales. Las empresas deben adherirse a estas leyes para evitar daños ambientales y sanciones correspondientes.
• Leyes Fiscales: Involucran la correcta declaración y pago de impuestos. Un cumplimiento fiscal riguroso es esencial para evitar penalizaciones y mantener la credibilidad financiera de la empresa.

3.2. Soft Law.

Pautas y códigos de conducta que establecen estándares éticos y mejores prácticas, aunque no sean legalmente obligatorios. Estos pueden incluir lineamientos de organismos internacionales o asociaciones industriales.

• Códigos de Conducta Empresarial: Documentos internos que establecen los valores y comportamientos esperados de todos los empleados. Son esenciales para crear una cultura organizacional que promueva la ética y la integridad.
• Directrices de Organismos Internacionales: Como las normas de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) o las Directrices sobre Derechos Humanos y Empresas de la ONU. Estas directrices ayudan a las empresas a operar de manera responsable y sostenible a nivel global.
• Estándares Industriales Voluntarios: Adoptados por empresas para demostrar compromiso con las mejores prácticas del sector. Ejemplos incluyen certificaciones como ISO 14001 para gestión ambiental o ISO 37001 para gestión de sobornos.

3.3. Cultura corporativa.

Valores de ética e integridad que deben estar integrados en todas las prácticas empresariales. Una cultura fuerte de cumplimiento se refleja en todos los niveles de la organización, desde la alta dirección hasta los empleados de base.

• Liderazgo Ético: La alta dirección debe demostrar un compromiso visible y tangible con la ética y el cumplimiento. Esto incluye tomar decisiones que reflejen estos valores y ser modelos a seguir para los empleados.
• Valores y Misión Corporativa: Definir y comunicar claramente los valores y la misión de la empresa, asegurando que estén alineados con principios éticos.
• Comportamiento Organizacional: Fomentar un ambiente donde los empleados se sientan empoderados para tomar decisiones éticas y reportar comportamientos inapropiados sin temor a represalias.

3.4. Comunicación.

La transmisión efectiva de la importancia del Compliance y las expectativas a todos los miembros de la organización. Esto incluye la creación de canales para reportar irregularidades de manera segura y confidencial.

• Políticas Claras y Accesibles: Asegurar que todos los empleados tengan acceso a las políticas de cumplimiento y que estas sean fáciles de entender.
• Canales de Denuncia: Establecer mecanismos anónimos y confidenciales para que los empleados reporten preocupaciones o violaciones de cumplimiento.
• Comunicación Continua: Mantener una comunicación regular sobre temas de cumplimiento a través de boletines, reuniones y capacitaciones, para mantener la conciencia y el compromiso de los empleados.

3. 5. Formación.

Educación continua en mejores prácticas y cambios regulatorios para todos los empleados. La formación debe ser adaptativa y relevante, asegurando que todos comprendan sus responsabilidades en materia de cumplimiento.

• Programas de Inducción:  Incluir formación sobre cumplimiento como parte del proceso de inducción para nuevos empleados.
• Capacitación Continua: Ofrecer cursos de actualización periódicos para todos los empleados, adaptados a sus roles y responsabilidades específicas.
• Simulacros y Ejercicios Prácticos:  Realizar simulacros y ejercicios que permitan a los empleados aplicar lo aprendido en situaciones reales o hipotéticas de cumplimiento.

3.6. Información.

Gestión adecuada de la información para decisiones informadas. Esto incluye la recopilación, análisis y uso de datos para identificar y gestionar riesgos de manera proactiva.

• Recopilación de Datos: Implementar sistemas para recolectar datos relevantes sobre cumplimiento de manera continua y sistemática.
• Análisis de Datos: Utilizar herramientas analíticas para interpretar los datos recopilados y detectar tendencias, anomalías y áreas de riesgo.
• Informes y Seguimiento: Crear informes periódicos que destaquen los hallazgos clave y las acciones necesarias, asegurando un seguimiento adecuado de las medidas implementadas.

3.7. Sensibilización:  Fomento de una cultura ética y de compromiso con el cumplimiento a través de campañas de sensibilización y programas de incentivo.

• Campañas de Concienciación: Organizar campañas que promuevan la importancia del cumplimiento y la ética empresarial a través de diversos medios, como carteles, videos y eventos.
• Programas de Incentivos: Implementar programas que reconozcan y recompensen a los empleados que demuestren un compromiso ejemplar con las prácticas de cumplimiento.
• Feedback y Mejora Continua: Fomentar un entorno donde los empleados puedan proporcionar retroalimentación sobre las políticas de cumplimiento y sugerir mejoras.

4. Implementación de un Sistema de Gestión de Cumplimiento (CMS).

La implementación de un CMS efectivo requiere una comprensión profunda de estos componentes y su interrelación. No se trata solo de evitar sanciones legales, sino de fomentar una verdadera cultura ética empresarial que sea sostenible y beneficie a todas las partes interesadas. Un CMS eficaz incluye las siguientes fases:

4.1. Evaluación de Riesgos: Identificar y evaluar los riesgos de cumplimiento específicos de la empresa.

• Mapeo de Riesgos: Crear un mapa detallado que identifique los posibles riesgos en todas las áreas de la empresa.
• Análisis de Impacto y Probabilidad: Evaluar la probabilidad de que cada riesgo ocurra y su impacto potencial en la organización.
• Priorización de Riesgos: Clasificar los riesgos en función de su impacto y probabilidad, para enfocarse en los más críticos primero.

4.2. Desarrollo de Políticas y Procedimientos: Crear políticas y procedimientos claros y detallados que aborden los riesgos identificados.

• Políticas Específicas: Desarrollar políticas específicas para cada área de riesgo identificada, asegurando que sean claras y fáciles de entender.
• Procedimientos Operativos: Establecer procedimientos detallados que describan cómo implementar y cumplir con las políticas.
• Documentación y Revisión: Asegurar que todas las políticas y procedimientos estén documentados y sean revisados periódicamente para mantener su relevancia y efectividad.

4.3. Formación y Educación: Desarrollar programas de formación para asegurar que todos los empleados comprendan y cumplan con las políticas y procedimientos.

• Diseño de Programas de Capacitación: Crear programas de formación que sean interactivos y específicos para los diferentes roles dentro de la organización.
• Evaluación de la Eficacia: Implementar métodos para evaluar la eficacia de los programas de formación, como cuestionarios, evaluaciones y feedback de los participantes.
• Actualización Continua: Asegurar que los programas de formación se actualicen regularmente para reflejar los cambios en las regulaciones y las mejores prácticas.

4.4. Monitoreo y Auditoría: Implementar mecanismos de monitoreo y auditoría para asegurar el cumplimiento continuo y detectar posibles violaciones.

• Sistemas de Monitoreo: Utilizar tecnologías de monitoreo continuo que detecten irregularidades en tiempo real.
• Auditorías Internas y Externas: Realizar auditorías periódicas, tanto internas como externas, para evaluar el estado del cumplimiento.
• Informes de Auditoría: Crear informes detallados de auditoría que incluyan hallazgos, recomendaciones y planes de acción para abordar cualquier problema identificado.

4.5. Respuesta y Mejora Continua: Desarrollar procedimientos para responder a violaciones de cumplimiento y mejorar continuamente el CMS basándose en los resultados de las auditorías y la retroalimentación.

• Plan de Respuesta a Incidentes: Establecer un plan detallado para responder rápidamente a cualquier violación de cumplimiento, minimizando el daño y corrigiendo la causa raíz.
• Evaluación Post-Incidente: Realizar evaluaciones después de cada incidente para identificar lecciones aprendidas y áreas de mejora.
• Ciclo de Mejora Continua: Implementar un ciclo de mejora continua que incorpore retroalimentación, auditorías y evaluaciones para fortalecer el CMS de manera constante.

Un CMS no es simplemente un conjunto de procedimientos; es un reflejo de los valores de la empresa, una declaración de su identidad y su compromiso con el bien mayor. Las empresas que implementan un CMS efectivo no solo evitan sanciones, sino que también promueven una cultura de ética e integridad que puede mejorar su reputación y competitividad en el mercado.

Conclusión.

El Compliance es el garante de la prosperidad en el complejo entorno regulatorio actual. Es un compromiso con la excelencia, una promesa de integridad y una demostración de respeto hacia todas las partes interesadas. Las empresas que abrazan el Compliance no solo se ganan la confianza del público y de sus socios, sino que también se posicionan como líderes visionarios en la vanguardia de la ética empresarial. Un sistema de gestión de cumplimiento bien implementado y mantenido puede ser una ventaja competitiva, fomentando una cultura de responsabilidad y sostenibilidad que atrae a inversores, clientes y empleados por igual.

Anécdota Personal.

Mi viaje en el mundo del Compliance comenzó en los pasillos de una pequeña empresa, donde la teoría se encontró con la práctica. Acompañando a un mentor, presencié la transformación que un sistema de gestión de cumplimiento puede desencadenar.

Fue una epifanía, ver cómo el Compliance se entrelazaba con la estrategia y la cultura de la empresa, y cómo esto se traducía en un éxito tangible. Aquella experiencia sembró en mí la semilla de una pasión que ha crecido y se ha convertido en el eje de mi vida profesional.

Recuerdo vivamente una situación en la que un cliente enfrentaba una posible sanción por no cumplir con regulaciones ambientales. Trabajamos incansablemente para implementar un sistema de gestión de cumplimiento que no solo resolviera el problema inmediato, sino que también estableciera una base sólida para el cumplimiento futuro. El resultado fue un giro completo en la percepción de la empresa, que pasó de ser vista como un riesgo a ser considerada un modelo a seguir en su industria. Esta experiencia no solo reafirmó mi compromiso con el Compliance, sino que también me mostró el impacto positivo que puede tener en la vida real.

Agradecimientos del Autor.

Con profunda gratitud, me despido de ustedes, mis estimados lectores. Este artículo es el fruto de un viaje lleno de aprendizaje y pasión. Espero que las palabras que he compartido inspiren a otros a perseguir la excelencia en el Compliance con el mismo fervor que yo he experimentado.

Juntos, podemos trabajar hacia un futuro donde la integridad y la ética sean los pilares de todas las empresas. Con ilusión y pasión por un mañana más ético, recibe un cordial saludo y recuerda “El Compliance no es solo un conjunto de reglas; es el timonel que guía a las empresas hacia mares de innovación y éxito sostenible.”

 ¡Muchas gracias Emilio Piñeiro por compartirnos este artículo, una verdadera guía para implementar programas de integridad!

Emilio Piñeiro integra nuestro Directorio Profesional, asegúrese de visitar su perfil

LIC. EMILIO PIÑEIRO

Otras colaboraciones de Emilio Piñeiro. 

Entrevista a Emilio Piñeiro

El Falso Compliance.

Este artículo es de propiedad de su autor Emilio Piñeiro y como tal goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG).  Como tal, el contenido de este artículo es exclusiva responsabilidad del autor y no refleja ni compromete la posición ni la opinión de la compañía para la cual trabaja ni las organizcaciones que representa. 

Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada Compliance: Piedra angular de la integridad corporativa. se publicó primero en TODOCOMPLIANCE.

Desafíos de Compliance para la Gestión de Riesgos en Contrataciones Públicas en Municipios.

1. LAS RECOMENDACIONES DE LA OCDE SOBRE CONTRATACIONES PÚBLICAS. ^([1])

La contratación pública es un pilar fundamental para la gobernanza estratégica de los países, orientada al bien común. Su correcta gestión puede marcar la diferencia entre un sector público eficiente, transparente y confiable, y un Estado plagado de ineficiencias y de corrupción. Consciente de esta realidad, la Organización para la Cooperación y el Desarrollo Económicos (OCDE) ha emitido una Recomendación del Consejo sobre Contratación Pública en el año 2015, destinada a modernizar y mejorar los sistemas de contratación pública en sus países miembros y no miembros adherentes.

Este documento se presenta como una guía integral para abordar el ciclo completo de la contratación pública, desde la evaluación de las necesidades hasta la gestión de pagos y contratos, y su rendición de cuentas. En dicho documento, se enfatiza la importancia de integrar la contratación pública con otros elementos de la gobernanza estratégica, como la presupuestación y la gestión financiera, para maximizar la eficiencia y la eficacia del gasto público. En este sentido, se puede entender que el control de legalidad de las contrataciones públicas, hoy abarca tanto al control normativo y documental, como al control de gestión, una visión que en años anteriores parecía impensada.

A continuación, se mencionan las 12 recomendaciones brindadas por la OCDE en materia de contrataciones públicas:

1. Transparencia.
2. Integridad.
3. Accesibilidad.
4. Cumplimiento eficiente de las políticas públicas.
5. Participación.
6. Eficiencia.
7. Innovación y Tecnología.
8. Desarrollo de las Capacidades del Personal.
9. Evaluación del Desempeño.
10. Gestión de Riesgos.
11. Supervisión y Control: la Rendición de Cuentas.
12. Integración en la Gestión Financiera.

2.  LA RELACIÓN ENTRE LOS ODS 2030 DE LA ONU Y LAS CONTRATACIONES PÚBLICAS.

La Dra. María Concepción Campos Acuña, destacada abogada y escritora española, experta en contrataciones públicas y aplicación del Public Compliance en el orden municipal/vecinal, ha desarrollado un documento extenso sobre la vinculación entre los Objetivos de Desarrollo Sostenible (ODS 2030) de la ONU y las contrataciones públicas ^([2]). Para explicar este tema, la autora aborda tres ejes centrales, a saber:

(1). La contratación pública socialmente responsable: Este eje enfatiza la incorporación de criterios sociales, medioambientales y de innovación en la contratación pública. Destaca la importancia de facilitar el acceso a las PYMES y las empresas de economía social, contribuyendo así a:

– la igualdad de género (ODS 5),

– el trabajo decente y el crecimiento económico (ODS 8), y

– la producción y el consumo responsables (ODS 12)

(2). La calidad de los servicios públicos: Este eje se centra en asegurar que los criterios de adjudicación y las condiciones de ejecución, resulten en servicios de alta calidad que respeten principios de igualdad, no discriminación y transparencia. Aborda específicamente:

– los desafíos del acceso al agua limpia y saneamiento (ODS 6),

– la energía asequible y no contaminante (ODS 7), y

– la promoción de infraestructuras resilientes e innovación (ODS 9).

(3). La mejora de la confianza institucional: Este eje se enfoca en la necesidad de contar con instituciones sólidas y transparentes que puedan ganar y mantener la confianza pública. Subraya la contratación pública como un área susceptible a la corrupción y cómo su gestión adecuada puede:

– contribuir a la paz, la justicia y las instituciones sólidas (ODS 16), y

– fomentar alianzas eficaces para la consecución de los ODS (ODS 17).

3. ABORDAJE DE LA GESTIÓN DE RIESGOS EN LAS CONTRATACIONES PÚBLICAS DE LOS MUNICIPIOS.

3.1.  La Norma ISO 31000.

La Norma ISO 31000 es una guía práctica para la gestión de riesgos, que puede ser aplicada en todos los sistemas de gestión que necesiten ser certificados bajo los estándares ISO, o para cualquier práctica de gestión de riesgos que necesite ser implementada para cumplir con otras guías y directrices ISO. Incluso todo tipo de organización que pretenda gestionar sus riesgos, aún cuando no cuenten con sistemas organizados de gestión, pueden utilizar de manera práctica la Norma ISO 31000.

3.2. Los 10 pasos prácticos para la gestión de riesgos.

Luego de la utilización de la citada norma en la práctica profesional real, pueden identificarse 10 pasos prácticos para la gestión de riesgos, que pueden ayudar tanto a los profesionales en Compliance, pero también al personal de gestión y a los auditores, a realizar una gestión de riesgos efectiva y sin demasiada complejidad.

([1])  OECD. (2015). Recomendación del Consejo sobre Contratación Pública. Recuperado de https://www.oecd.org/gov/ethics/OCDE-Recomendacion-sobre-Contratacion-Publica-ES.pdf

([2]) World Compliance Association. (2020). Cómo alcanzar los ODS a través de la contratación pública en 3 ejes. Recuperado de https://www.worldcomplianceassociation.com/2789/articulo-como-alcanzar-los-ods-a-traves-de-la-contratacion-publica-en-3-ejes.html

Nota: Elaboración propia

Como es posible observar, el proceso de gestión de riesgos, es una actividad que requiere de varios pasos que, si se aplican de manera organizada y detallada, pueden ayudar a las organizaciones en la administración de un mapa de riesgos completo, que se mantenga controlado, actualizado y mejorado continuamente.

Para simplificar el proceso de gestión de riesgos en las contrataciones públicas en el ámbito municipal, se pueden elaborar decálogos de preguntas (riesgos) y respuestas posibles (planes de acción), para cumplir con cada una de las recomendaciones de la OCDE sobre contrataciones públicas y asimismo con los ODS 2030 de la ONU.

3.3. Preguntas y respuestas a los riesgos en las contrataciones públicas de los municipios, siguiendo las recomendaciones de la OCDE.

3.4. Preguntas y respuestas a los riesgos en las contrataciones públicas de los municipios siguiendo los ODS 2030 de la ONU.

4. CONCLUSIONES: ¿PODRÁN LOS MUNICIPIOS AFRONTAR LOS DESAFÍOS QUE VIENEN EN LAS CONTRATACIONES PÚBLICAS?

Como es posible apreciar, la gestión de riesgos en las contrataciones públicas es crucial para asegurar la transparencia, la eficiencia y el cumplimiento normativo. Siguiendo las recomendaciones de organismos internacionales como la OCDE y la ONU, se pueden abordar eficazmente los desafíos actuales en las contrataciones públicas.

Sin embargo, es notable apreciar que desde el año 2020 e incluso antes de esta fecha, existen grandes desafíos en las contrataciones públicas con el auge de las nuevas tecnologías, por ejemplo:

• Protección y Uso de Datos: Con la implementación de tecnologías como Big Data y análisis forense digital, los datos se han convertido en un recurso invaluable. Sin embargo, esto también implica riesgos significativos en términos de privacidad y seguridad. La protección de datos sensibles y el cumplimiento de las normas locales en materia de protección de datos son esenciales para evitar filtraciones y abusos.
• Ciberseguridad: La digitalización de los procesos de contratación expone a los sistemas a ciberataques. La inteligencia artificial y el Blockchain pueden mejorar la seguridad, pero también presentan nuevas vulnerabilidades que deben ser gestionadas proactivamente. La automatización y el uso de data rooms virtuales, deben incorporar medidas robustas de ciberseguridad para proteger la integridad de los procesos.
• Transparencia y Anticorrupción: La tecnología puede mejorar la transparencia y reducir la corrupción mediante la trazabilidad de las transacciones y la inmutabilidad de los registros (una gran ventaja del Blockchain). No obstante, la correcta implementación y monitoreo de estas tecnologías son necesarios para asegurar que no se conviertan en herramientas de opacidad.
• Adaptación y Capacitación: La transición hacia tecnologías avanzadas requiere que los funcionarios públicos se adapten y capaciten constantemente. La falta de habilidades y conocimiento tecnológico puede resultar en una mala implementación y gestión de los sistemas, comprometiendo los beneficios esperados.
• Interoperabilidad y Estándares: La integración de nuevas tecnologías en sistemas existentes puede ser complicada. Es crucial establecer estándares claros y asegurarse de que los diferentes sistemas sean interoperables para evitar redundancias y fallas de comunicación.

Finalmente, es posible concluir que el sector público, en especial los municipios, se encuentran en una encrucijada crítica en materia de contrataciones públicas: mientras se preparan para el futuro, el nuevo mundo digital ya ha llegado, y resulta imperativo que el Estado reconozca y se adapte rápidamente a esta realidad. Pues la gestión de riesgos, ética, sostenibilidad y tecnología de avanzada han llegado para quedarse.

 ¡Muchas gracias María Dolores Troiano por compartir este material de tu autoría, sintetizando directrices de OCDE y relacionando con los objetivos ODS Agenda 2030!

María Dolores integra nuestro Directorio Profesiona, asegúrese de visitar su perfil.

Mg. María Dolores Troiano

Ha ido hablar sobre acciones colectivas y AMT? Recomendamos la siguiente lectura, por Dorothea Garff.

Alianza de Municipios Transparentes “AMT”.

¿Le interesó este artículo? No deje de leer «Riesgos de corrupción y colusión en contrataciones públicas, por Vanesa del Boca.

Riesgos de corrupción y colusión en Contrataciones Públicas.

Este artículo es de propiedad de su autora María Dolores Troiano y como tal goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG).  Como tal, el contenido de este artículo es exclusiva responsabilidad de la autora y no refleja ni compromete la posición ni la opinión de la compañía para la cual trabaja ni las organizcaciones que representa. 

Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada Riesgos en Contrataciones Públicas en Municipios. se publicó primero en TODOCOMPLIANCE.

1. Introducción. ¿Por qué es importante hacer una evaluación de riesgos dentro de un programa de integridad?

A lo largo del presente artículo, nos referiremos al concepto de riesgo como “la posibilidad de que un evento pueda ocurrir y afectar el alcance de la estrategia y objetivos del negocio”, de acuerdo a la definición utilizada por el modelo COSO (traducida al español).

Es por ello que toda organización debe hablar de riesgos: para anticiparlos y tener en claro un plan de acción que reduzca su impacto si el mismo ocurre. En este sentido, una de las primeras cuestiones que debemos procurar es alejarnos de la connotación negativa que en la creencia colectiva este concepto tiene.

El enfoque preventivo es vital en los programas de integridad ya que visualizamos el impacto del riesgo, (por ejemplo: aparecer en la tapa de los diarios debido a una situación de corrupción), nuestro margen de acción es muchísimo menor. Si consideramos este concepto a la luz de los programas de integridad y los riesgos de corrupción, este tema cobra especial relevancia desde la perspectiva jurídica ya que la ley 27401 de Responsabilidad Penal de las Personas Jurídicas regula en su artículo 22 que:

«El Programa de Integridad exigido deberá guardar relación con los riesgos propios de la actividad que la persona jurídica realiza, su dimensión. y capacidad económica, de conformidad a lo que establezca la reglamentación.”

Como así también, en su artículo 23 cita qué “el análisis periódico de riesgos y la consecuente adaptación del programa de integridad” es un elemento no obligatorio, pero altamente recomendado para demostrar la efectiva implementación de un programa de integridad de una organización. Dicho esto, la evaluación de riesgos es un elemento vital para cualquier programa de integridad, tanto en el sentido que debe ser la adecuada para cada organización (¡no es válido el “copiar y pegar”!) como también en su dinamismo ya que debe ir variando de acuerdo a las características cambiantes de cualquier organización (ej. Nueva línea de negocios, nuevos acuerdos, nuevo personal, nuevas regulaciones externas, etc.)

Por otro lado, es casi imposible pensar la existencia de un «riesgo cero” cuando hablamos de riesgos de corrupción. Todas las organizaciones, en mayor o menor medida, lamentablemente están expuestas a estos riesgos.

2. ¿Cómo se realiza el proceso de evaluación de riesgos?

Realizar una evaluación de riesgos es el paso fundamental para la implementación de un programa de integridad en forma efectiva que, en su generalidad, consta de 5 pasos:

I) Identificación de los riesgos: este paso consiste en pensar y listar todos aquellos procesos, situaciones y/o “áreas grises” que pudieran afectar al programa de integridad. Aquí podemos encontrar el listado de los procesos u áreas que podemos considerar a modo de referencia, pensando en aquellas organizaciones que realizan este ejercicio por primera vez: Esta lista no es exhaustiva ya que los riesgos dependerán de cada organización, pero consideramos que es una lista que puede ser de utilidad para saber por dónde empezar:

• Pagos en efectivo.
• Donaciones, patrocinios y subsidios.
• Interacciones con funcionarios y organismos públicos.
• Participación en Licitaciones.
• Provisión de obsequios, viajes y hospitalidad.
• Uso de terceros (ej. Distribuidores, consultores, agencias intermediarias, etc.).
• Conflictos de interés.
• Otorgamiento de descuentos comerciales.

Para aquellas organizaciones que realizan este ejercicio por primera vez, este paso requerirá mucho tiempo y dedicación para poder realizar el relevamiento, pero aseguramos que es el mejor tiempo invertido ya que en función de su resultado, se desprende el éxito medidos en términos de efectividad del proceso en su conjunto. Por otro lado, también podemos valernos de otras fuentes de información como podría ser reportes de la industria, Mapa de Percepción de la Corrupción relacionado al país donde operamos, reportes de auditoría interna y/o externa, encuestas de clima interno, etc.

II) Evaluación de los riesgos:

Los riesgos se miden en función de dos variables:

1. Impacto: refiere a qué pasaría si esa situación que avizoramos como riesgo efectivamente ocurre y cuál sería la consecuencia para la organización, ya sea en términos reputacionales, financieros, legales y/o de negocios
2. Probabilidad de ocurrencia: refiere a qué tan posible es que el riesgo se materialice en la realidad. Aquí, es inevitable pensar si esa situación ya ha ocurrido en el pasado, pero también es importante reflexionar que tal vez ocurrió y no hemos podido detectar la situación.

Estas dos variables deben poder medirse. Para ello, es importante determinar un criterio homogéneo para que todas las personas que participen del ejercicio consideren lo mismo a la hora de evaluar. En general, se utiliza una escala aritmética, a partir de la cual, al multiplicarse los valores asignados al impacto y a la probabilidad de ocurrencia, conoceremos el riesgo inherente. Éste riesgo es aquel que tenemos en consideración antes de implementar cualquier actividad de mitigación.

A continuación, presentamos un gráfico de doble entrada que nos permite visualizar mejor el mapa de riesgos de una organización. Aquí, citamos un modelo adoptado por la “Guía para la gestión del riesgo de corrupción” en Colombia.

El modelo citado es un marco para tomar de referencia ya que luego, cada organización debe construir su propio modelo ya que dependerá de la escala y el criterio para medir que cada organización determine. Así, es importante alinearse en el significado de las escalas tanto para medir la probabilidad como el impacto para que cuando se realice la evaluación, todos los participantes puedan hacerlo en forma homogénea y consistente. En este caso, la guía plantea, para la medición de la probabilidad una escala del 1 al 5, con la siguiente descripción:

Por otro lado, para la medición del impacto, siempre es útil preguntarnos “¿Qué pasa si pasa ese escenario de riesgo?” para poder determinar la escala que le vamos a asignar a esta variable. Por ejemplo ¿Qué pasa si un empleado de la organización soborna con dinero y viajes al responsable de Compras de un organismo público con el objetivo que la organización gane la licitación en curso? Si esto ocurriese, ¿La organización está sujeta a consecuencias penales? ¿Tendría un impacto reputacional, ya sea a nivel local o internacional? ¿Podría impedir que la organización cumpla con sus objetivos estratégicos? ¿Se podrían rescindir acuerdos con terceros por este motivo? Todas estas preguntas y muchas más son válidas para reflexionar y determinar el impacto del riesgo que estamos analizando. Así, la guía anteriormente citada nos brinda un cuestionario y una propuesta de clasificación para poder medirlo, tal como hicimos con la variable de probabilidad.

III) Mitigación de los riesgos: debemos pensar qué acciones pueden ejecutarse para aminorar el impacto del riesgo y/o su probabilidad de ocurrencia. Podemos pensar en dos grandes grupos de medidas: a nivel interno puede ser, por ejemplo, definición de un procedimiento que regule un determinado proceso, implementación de controles como mayores niveles de aprobaciones, bloqueos en sistemas y/o también la ejecución de entrenamientos al personal relevante del proceso en análisis. A nivel externo, pueden ser decisiones más macro como unirnos en una acción colectiva, participar de comités de integridad a nivel industria y/o con el estado, firmar pactos de integridad con la cadena de valor, etc. Una vez que ejecutamos estas acciones, debemos volver a hacer la evaluación de riesgos del paso 2 pero en esta oportunidad, obtendremos el riesgo residual, es decir, el riesgo que queda una vez que ejecutamos las acciones mitigantes.

IV) Acción sobre los riesgos: debemos definir qué curso de acción tomaremos respecto al riesgo residual. Aquí se presentan varias opciones, tomando como referencia lo establecido en los “Lineamientos de Integridad para el mejor cumplimiento de lo establecido en los artículos 22 y 23 de la Ley N° 27.401 de Responsabilidad Penal de Personas Jurídicas” emitido por la Oficina Anticorrupción de Argentina.

• Eliminar el riesgo: puede implicar la discontinuación de alguna actividad y/o proceso, la prohibición de alguna práctica de negocios y/o terminar acuerdos con determinados clientes y/o proveedores.
• Mitigar el riesgo: como mencionamos anteriormente, aquí procuramos reforzar los controles que están a nuestro alcance para disminuir el impacto y/o la probabilidad de ocurrencia.
• Tercerizar el riesgo: es difícil cuando hablamos de riesgos de corrupción ya que no se puede contratar un seguro como sí podría ser el caso cuando hablamos de riesgos financieros.
• Asumir los riesgos: si ninguna de las anteriores opciones es viable, solo nos queda la opción de asumir los riesgos, siendo muy conscientes de esta decisión porque no es lo más recomendable. Podría percibirse que no estamos manejando adecuadamente los riesgos.

V) Monitoreo de los riesgos: este paso es fundamental para poder determinar si todo lo que hicimos hasta este momento fue efectivo, ya sea para disminuir el impacto y/o la probabilidad de ocurrencia de los riesgos. Aquí es donde vemos la realidad de las actividades, de cómo se están ejecutando, cómo se están documentado, etc. En este sentido, debemos determinar la frecuencia y quien será responsable del monitoreo de los riesgos. Y debemos estar preparados para seguramente encontrar desvíos, pero de ser así, tenemos que ser conscientes que este es un escenario ideal ya que es mejor la auto-identificación de desvíos por parte de la propia organización a que esos desvíos puedan ser capturados por las autoridades regulatorias y que nosotros, como organización, desconozcamos que existían. Entonces, en caso de identificarse estos desvíos, es de suma relevancia entender el “por qué” se generaron para poder luego determinar el plan de acción que sea efectivo para remediar la situación. A este “por qué” en la jerga de Compliance se lo conoce como causa raíz que generalmente se clasifican en 3 cuestiones, aunque muchas veces se trata de una combinación:

1. Procesos: falta de procesos y/o controles adecuados
2. Personas: falta de recursos, falta de claridad en los roles y responsabilidades y/o personal no entrenado y/o no apto para la tarea;
3. Cultura: falta de tono ético por parte de la alta dirección, presión para alcanzar los objetivos, definición de incentivos inapropiados, falta de compromiso y/o colaboración, trabajo en silos, et

Para concluir, si bien parece algo obvio para los que manejamos este tema en forma habitual, recalcamos la importancia de la documentación que respalde todo este proceso. Tal como mencionamos inicialmente, la evaluación de riesgos tiene implicancia jurídica y es un instrumento que puede jugar a nuestro favor, siempre y cuando esté bien realizado y documentado, a la hora de defendernos como organización ante un cuestionamiento por parte de las autoridades regulatorias frente a un caso de corrupción. Con documentación nos referimos, por ejemplo, minutas de las reuniones con las personas que participaron de la identificación de los riesgos, matriz de riesgos completa con la evaluación de los mismos, papeles de trabajo de los monitoreos, presentaciones de los resultados al órgano directivo, etc. En este sentido, vale la pena recordar al respecto lo que establecen los lineamientos de integridad anteriormente mencionados:

“La existencia de un Programa y su carácter adecuado son, dentro del proceso penal, cuestiones de hecho y prueba”.

Por lo tanto, volvemos a enfatizar la importancia de conocer los riesgos de la organización, tomar decisiones en base a ellos, evaluarlos, implementar todas las medidas que estén a nuestro alcance para poder mitigarlos y, por último, monitorearlos, siendo esto un proceso circular. Todas estas instancias deben estar siempre avaladas por documentación que nos permita acreditar y explicar todo lo que se hizo dentro de la organización, tanto en lo que respecta a la evaluación de riesgos como a la prevención efectiva de la corrupción, objetivo inherente a todo programa de integridad.

3. Aspectos prácticos de la evaluación de riegos

Hasta ahora expusimos la parte teórica. En línea con el título del presente artículo, quisiéramos compartir las 10 preguntas habituales que surgen cuando realizamos este ejercicio de evaluación de riesgos en la práctica:

¿Cuál es el rol del Oficial de Cumplimiento (Compliance Officer) dentro de este proceso?

El oficial de Cumplimiento debe ser el facilitador de este ejercicio, haciendo las preguntas atinadas, asegurando que las áreas estén bien representadas en la discusión, asignando roles y responsabilidades dentro del proceso. En definitiva, es quien debe coordinar las acciones para que este ejercicio suceda, pero de ninguna manera, debe percibirse que este proceso es únicamente del área de Cumplimiento. En este sentido, es clave el apoyo del Directorio y la alta gerencia para garantizar que este ejercicio realmente agregue valor a la organización y a su programa de Integridad en su conjunto.

¿Cuál es el rol de la alta dirección en este proceso?

La alta dirección es el órgano que debe procurar que este ejercicio se haga en forma consciente y no solamente para cumplir con el requisito como práctica recomendada dentro del programa de Integridad. Bien sabemos que la efectividad de cualquier programa de integridad empieza con el tono ético (tone at the top) y si nos referimos particularmente a este proceso, esto se traduce a que deben involucrarse, que deben participar activamente tanto en el debate de la identificación de los riesgos como en la evaluación y el monitoreo, que deben tomar decisiones de todo tipo siempre en base al análisis de riesgo correspondiente, lo cual implica que muchas veces deben tomar decisiones difíciles indicando qué tal o cual actividad se deje de hacer en virtud del riesgo que conlleva. En particular, en la etapa del monitoreo, es quien debe incentivar a que estos monitoreos se hagan, no solamente para encontrar desvíos sino una mirada positiva como una forma de mejora continua y de corregir aquellas situaciones que, en definitiva, exponen a la organización a riesgos, pero también a nivel personal como parte del órgano directivo.

¿Cuál es la frecuencia con la que debemos realizar este proceso?

Lo recomendable es hacerlo, por lo menos, una vez al año. Ahora bien ,los riesgos son contextuales y dinámicos por eso, su análisis debe ser continuo, guardando relación con la dinámica de negocios. Así, puede ser que haya situaciones de la organización que ameriten que este ejercicio se tenga que reiniciar. Debemos pensar estas situaciones como estratégicas para la vida de la organización que tienen gran impacto ej. Apertura de un nuevo negocio en una nueva ciudad y/o país, reestructuración de la organización, adquisición de una nueva compañía y/o fusión con otra, apertura de una planta, cambios en el modelo de negocio y que implique interacción con funcionarios públicos que anteriormente no se tenía, y así muchas más situaciones. Si hacemos referencia al impacto del COVID 19 en todo este análisis, me consta que muchas organizaciones han tenido que revisitar su matriz de riesgos definida al comienzo del año en virtud que sus riesgos cambiaron considerablemente.

¿Cómo incide el factor de la diversidad en este proceso?

El factor de la diversidad es sumamente importante, especialmente al inicio para la identificación de los riesgos y ni hablar para aquellas organizaciones que emprenden en esta aventura de la implementación de un programa de integridad. Por un lado, debemos asegurarnos que participen los actores claves en el ejercicio entendidos como la alta gerencia, el oficial de cumplimiento, pero asimismo, es de extrema relevancia la participación de representantes de diferentes áreas, jerarquías, edades, género, profesiones, etc. de manera tal que esa identificación sea lo más exhaustiva posible e incluso, podríamos pensar en convocar a personas ajenas a la organización que puedan complementar nuestra perspectiva interna sobre riesgos. Así, si las personas que participan son de la misma área, de la misma jerarquía, con la misma profesión y género, entre otras variables, lo más probable es que todos visibilicen los mismos riesgos. Aquí se desprende el concepto de sesgos inconscientes que si bien es un tema que ameritaría un artículo exclusivamente dedicado al mismo, cobra una relevancia tal en la construcción de este ejercicio que es meritoria su alusión. Los sesgos inconscientes son pensamientos y creencias que las tenemos tan arraigadas en nuestros modelos mentales que ni nos damos cuenta pero que influyen directamente en la forma en que operamos, vemos la realidad y en definitiva, tomamos decisiones. Todas las personas tenemos dichos sesgos y lo importante es poder reconocerlos y trabajar para que seamos conscientes. En este sentido, cuando hablamos de riesgo, es probable que una determinada situación riesgosa no sea visible por un área porque es un “punto ciego” marcado por nuestros sesgos pero sí por otra y lo mismo ocurre con las otras variables mencionadas. Por lo tanto, cuanto más diverso sea el panel de participantes, más riesgos se podrán identificar y mitigar y en definitiva, más efectivo será el ejercicio de evaluación de riesgos.

¿Qué buenas prácticas se recomiendan para fomentar la toma de decisiones basadas en riesgos?

Antes de comenzar con este ejercicio como tal, siempre es recomendable hacer alguna charla o taller de concientización de la temática, explicando el por qué y para qué se hace, comunicando las expectativas del proceso e invitando a todos los que participen del mismo. Muchas veces se presume que todos los que participan, por estar en un rol, área o jerarquía determinada saben del tema, pero no siempre es así por lo que es bueno homogeneizar el conocimiento. Asimismo, no solamente es válido esperar a hacer la construcción de la gran matriz de riesgos a nivel organizacional, sino también es considerado una buena práctica hacer un análisis a nivel más detallado, por ejemplo, en una determina unidad de negocios, o cuando vamos a dar inicio a una nueva actividad comercial, o cuando vamos a firmar un nuevo acuerdo con un cliente importante, etc. Estos análisis a nivel “micro” también contribuyen muchísimo a fortalecer el pensamiento basado en riesgos en el día a día de la organización. Y en este sentido, sobre todo para aquellas organizaciones que hacen el ejercicio por primera vez, es importante el reconocimiento. Aunque a veces parezcan minúsculas las contribuciones que una persona o un área haga, es importante reconocer estas actitudes y acciones porque pueden generar un efecto virtuoso en el resto de la organización a la hora de hablar de riesgos.

En la etapa de monitoreo de riesgos ¿A qué nos referimos cuando hablamos de medidas efectivas?

Nos referimos a medidas que eviten que el desvío se vuelva a producir. En la última guía de “Evaluación de Programas de Compliance” emitido por la DOJ en Junio 2020, justamente hace referencia a la hora de evaluar cómo funciona el programa de Compliance de una organización cómo la misma haya incorporado las lecciones aprendidas de las situaciones de mala conducta y/o los propios desvíos de los procesos en sus procesos actuales, en la actualización de los contenidos de los entrenamientos, en su cultura, todo con el único objetivo de evitar que vuelva a suceder y que en definitiva, la organización haya aprendido lo suficiente en la materia.

¿Qué pasa cuando existe un área con riesgo alto (ej. Donaciones) y a pesar de haber implementado varias medidas de mitigación sigue con esa clasificación?

Esto es lo que se denomina como “riesgo residual”, aquel riesgo que continua después de haber implementado las medidas de mitigación. Sí es importante reflexionar sobre algunas cuestiones cuando sucede esto. En primer lugar, debemos cuestionarnos si esas medidas de mitigación fueron efectivas o no. Y para ello, es relevante la aplicabilidad del análisis de causa raíz que mencionamos anteriormente. Muchas veces invertimos tiempo en diseñar un nuevo proceso, entrenamos al personal, hacemos concientización del tema y otras actividades afines, pero sigue habiendo desvíos en los monitoreos que realizamos. Por lo que tenemos que preguntarnos el detrás de esos desvíos ya que puede haber cuestiones más de fondo que impacten como podría ser la cultura de la organización y el tono ético o falta de incentivos para una conducta ética. Por otro lado, esta situación también puede ser un disparador para preguntarse a nivel directivo si ese riesgo debe ser directamente eliminado, discontinuando la actividad. Aunque también es válido reflexionar que puede haber áreas de riesgo que son inherentes al tipo de actividad de la organización. Por ejemplo, si una compañía tiene el 80% (por mencionar un porcentaje considerable) de su negocio basado en obtención de licitaciones públicas, seguramente el riesgo relacionado con la interacción con funcionarios públicos siempre estará clasificado como alto por el mismo modelo de negocios y aquí es donde debemos asegurarnos que las medidas de mitigación (entrenamientos, controles en el proceso, etc.) se mantengan en el tiempo y que sean efectivas.

¿Qué área debe ser la responsable de monitorear los riesgos?

Depende mucho de la estructura de la organización. Puede ser la función del Oficial de Cumplimiento o la función de auditoría, si es que existe o en algunas situaciones, también se puede decidir sobre la tercerización de este tipo de tarea, lo cual tiene sus ventajas en cuanto a la independencia de la revisión. Asimismo, una buena práctica en términos de monitoreo son los monitoreos realizados por las propias áreas de negocio cuando se trate de actividades recurrentes. Por ejemplo, si consideramos el proceso de donaciones, aquel que sea el responsable interno de gestionar este tipo de actividades puede auto-monitorearse siguiendo determinadas pautas que el Oficial de Cumplimiento puede instruir o también es recomendable hacer monitoreos cruzados entre empleados de diferentes áreas, siempre en un marco de confianza y un espíritu de mejora continua.

¿Esta metodología de evaluación de riesgos solo aplica para los riesgos de corrupción?

No. Esta metodología sirve para la evaluación de todos los riesgos de la organización tales como los financieros, legales/regulatorios, de la cadena de suministro, etc. Incluso, si miramos la evolución de los programas de integridad, los programas más avanzados no solamente abordan los temas de corrupción sino otros tales como medioambientales, derechos laborales, calidad, diversidad y género, privacidad de datos, etc. con lo cual estas evaluaciones de riesgos también se tornan más complejas, pero a la vez, más exhaustivas en el entendimiento que muchas áreas de riesgos se interrelacionan y las medidas mitigatorias pueden ser más efectivas, “atacando” varias cuestiones al mismo tiempo.

Muchas veces se menciona el tema de apetito o tolerancia al riesgo, ¿Cómo impacta este tema en la evaluación de riesgos?

Efectivamente, el apetito o la tolerancia al riesgo son cuestiones que se abordan cuando hablamos de evaluación del riesgo. Si bien son dos conceptos diferentes, es válido aplicar dichos conceptos cuando hacemos evaluaciones de riesgos con una mirada más comercial o financiera donde el desvío al riesgo esperado puede ser admitido y las consecuencias pueden ser de índole más interna, por ejemplo, invirtiendo en un determinado mercado cuyo pronóstico de crecimiento es casi nulo a corto plazo, pero puede ser exponencial en el largo plazo. Entonces, sin duda esa inversión tiene un apetito de riesgo. Cuando hablamos de temas de corrupción, la tolerancia o el apetito debe ser cero, marcada por la alta dirección de la organización. Ninguna organización se puede dar el lujo de tener apetito de riesgo en este sentido ya que el impacto del mismo puede ser demasiado grave, incluso puede instar a la extinción de dicha organización.

5. ¿Todavía tenemos cuestiones para aprender sobre la evaluación de riesgos?

Habiendo dicho todo lo anterior, yendo del marco teórico al recorrido por las preguntas frecuentes que se generan a la hora de hacer este ejercicio en la vida real, aún queda la pregunta si realmente las organizaciones consideran este ejercicio como clave y con un enfoque preventivo. Y nos planteamos este interrogante porque si hablamos del contexto que vivimos, ¿podríamos imaginarnos cuántas organizaciones efectivamente han podido anticipar los riesgos relacionados con el COVID 19 y la ventaja que les hubiera traído, no solamente desde el punto de vista de integridad sino también como ventaja competitiva? Seguramente sean muy pocas las que realmente previeron ese riesgo y su impacto y pudieron tomar medidas efectivas para aminorarlo. Por lo que debemos considerar este contexto como un aprendizaje para hacer de este ejercicio de alto valor para las organizaciones, tanto desde la perspectiva de Compliance sino también desde el mundo de los negocios.

La reforma de la ley trae como novedad  establecer un capítulo separado referido a las Organizaciones Sin Fines de Lucro, indicando que las mismas  pueden estar sometidas a abusos por Financiamiento del Terrorismo. Como ya hemos comentado en el primer apartado, las OSFL que habían sido Sujetos Obligados como personas jurídicas que recibían donaciones y/o aportes, con la reforma dejaron de serlo. El capítulo de las OSFL se encuentra alineado con la Recomendación Nº 8 GAFI. No obstante ello, los desafíos son enormes para el resto de los Sujetos Obligados que van a tener que considerar que la actividad desarrollada por la OSFL es de alto riesgo.  Asimismo deberán estar atentos a las nuevas pautas y/o resoluciones de la UIF que establezcan claramente como poner en práctica lo que indica este capítulo. Por ejemplo,  cómo hacer una gestión del riesgo de las mismas, a fin de establecer medidas adecuadas y proporcionales a los riesgos identificados, que promuevan la transparencia, integridad y confianza pública en la administración y manejo de dichas organizaciones, de qué manera desarrollar actividades formativas dirigidas a estas organizaciones con el fin de que conozcan los riesgos de financiación del terrorismo a los que están expuestas y las medidas de control interno que pueden implementarse para mitigarlos, de qué manera deben comunicar a las autoridades competentes las sospechas de que una determinada OSFL está involucrada en financiación del terrorismo y/o es una pantalla para la ejecución de actividades de financiación del terrorismo; o está siendo explotada como conducto para el financiamiento al terrorismo.

En base a estos preceptos sería recomendable que las OSFL no dejen de tomar recaudos respecto de sus clientes, es decir, que continúen aplicando la política del KyC[1] ( “Conozca a su cliente”) y que fundamentalmente para montos significativos que requieran documentación sobre el origen de los fondos.

[1] Know your Customer.

El siguiente artículo es una republicación, pudiendo acceder a la publicación original en el siguiente link:  https://www.womenincompliance.com.ar/post/evaluacion-de-riesgos-de-la-teoria-a-la-practica. ¡Muchas gracias Women in Compliance y Debora Dansker por compartir este valioso material con Todocompliance.com!

Este artículo es de propiedad de su autora Debora Dansker y como tal goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG).  Como tal, el contenido de este artículo es exclusiva responsabilidad de la autora y no refleja ni compromete la posición ni la opinión de la compañía para la cual trabaja ni las organizcaciones que representa. 

Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada Evaluación de Riesgos: De la Teoría a la Práctica. se publicó primero en TODOCOMPLIANCE.

Desde el 2016 es Consultora Independiente, socia fundadora de M&M Consultores Compliance, y directora de Areté, es también Revisora Externa Independiente y docente de varios posgrados en UBA, UCA y UCES.

1. Introducción.

Finalmente, luego de una espera casi interminable, el viernes 15 de marzo salió publicada en el Boletín Oficial la Ley 27.739 conjuntamente con el Decreto 254 que modifican el régimen de Prevención de Lavado de Activos y Financiamiento del Terrorismo establecido originalmente por la Ley 25.246 en el año 2000.

Que se pudiera efectuar el cambio era una necesidad fundamental porque nuestro país esta atravesando la “Cuarta Ronda de Evaluaciones Mutuas del Grupo de Acción Financiera Internacional (GAFI)”, y de no contar con estos cambios se iban detectar varios gaps importantes que nos alejaban indudablemente del cumplimiento técnico de las 40 Recomendaciones del GAFI. Cabe destacar que el equipo evaluador[1] estará hasta el 26 de marzo “in situ”, desarrollando una serie de reuniones y entrevistas con funcionarios y autoridades competentes en la materia y también con sujetos obligados del sector privado.

Entre los principales cambios que presenta la reforma se destacan los siguientes:

[1] Diana Firth, coordinadora del equipo evaluador del GAFI -compuesto por representantes de China, Finlandia, Brasil, EEUU, Italia y Turquía.

2. Incorporación y eliminación de nuevos Sujetos Obligados.

Se han incorporado nuevos Sujetos obligados:

• A los Proveedores de Servicios de Activos Virtuales.
• A los Emisores, Operadores y Proveedores de servicios de cobros y/o pagos. (PSP).
• Proveedores no financieros de crédito.
• A los Abogados .
• A los agentes del mercado de valores, los Agentes Depositarios Centrales de Valores Negociables y los Agentes de Custodia, Registro y Pago.
• A los Proveedores de servicios Societarios y Fiduciarios.

Se han eliminado a otros Sujetos Obligados:

• A las Organizaciones sin fines de Lucro, Personas Jurídicas que reciben donaciones aportes
• Al Tribunal Nacional de Defensa de la Competencia,
• A ciertos agentes de seguro, tales como peritos y productores, agentes institorios que no ofrecen seguros de vida y retiro.

Respecto de los nuevos Sujetos Obligados se espera que la Unidad de Información Financiera (UIF) vaya emitiendo sus reglamentaciones específicas. Actualmente los Abogados ya cuentan con la suya  (Resolución UIF 48/2024). De igual modo,  sería importante contar con alguna aclaración para los Sujetos Obligados que dejaron de serlo sobre todo si se tienen que dar de baja y de que manera, ya que la Resolución UIF 47/2024 no contempla como causal de baja la eliminación como Sujeto Obligado.

3. Agrupamiento de los llamados «Gatekeepers».

Mediante la reforma, se han agrupado en un único ítem, en el inciso 17 del artículo 20, a los Contadores, Escribanos y se sumaron a los Abogados que por su actividad desarrollan ciertas operaciones, tales como, la compra y venta de bienes inmobiliarios; la administración de cuentas, de propiedades, de dinero y la creación de  personas jurídicas o empresas. Estos  profesionales conforman los denominados Gatekeepers[1] que son quienes conocen todos los movimientos, determinan quiénes entran, quiénes no y resultan fundamentales a la hora de crear las estructuras necesarias para implementar el proceso lavado de activos. Por su actividad manejan fondos de terceros y son capaces de emitir documentación respaldatoria sobre el origen de los fondos, de crear contratos, de inscribir propiedades y es por eso que presentan un mayor riesgo de LA/FT y es importante que identifiquen a sus clientes, que realicen la diligencia debida, que mantengan registros sobre los mismos y que informen de sus actividades sospechosas a la UIF, al igual que los Bancos, que los Agentes de Liquidación y Compensación( ALYC), que las Operadoras de Tarjetas, Compañías de Seguro y demás Sujetos Obligados.

[1] Significa porteros/ encargados.

4. Se otorga un marco legal de PLA/FT al ecosistema cripto.

La reforma incorpora una definición de Activos Virtuales, de los Proveedores de Servicios Activos Virtuales (PSAV) y  crea un registro de PSAV.

Es importante destacar que la definición de Activos Virtuales es la misma que maneja el Grupo de Acción Financiera (GAFI). Se trata de una representación digital de valor que se puede comercializar y/o transferir digitalmente y utilizar para pagos o inversiones distinguéndola de la moneda de curso legal, es decir, de la moneda fiat o fiduciaria.

En el caso de los Proveedores de servicios de activos virtuales, la Ley 27.739 establece un alcance en base a las actividades que estos desarrollan, a saber :

• Intercambio entre activos virtuales y monedas de curso legal (monedas fiduciarias);
• Intercambio entre una (1) o más formas de activos virtuales;
• Transferencia de activos virtuales;
• Custodia y/o administración de activos virtuales o instrumentos que permitan el control sobre los mismos; y
• Participación y provisión de servicios financieros relacionados con la oferta de un emisor y/o venta de un activo virtual.

Asimismo la ley aludida, crea el Registro de Proveedores de Servicios de Activos Virtuales en el cual deberán ser ingresados todas las personas humanas o jurídicas -constituidas en la República Argentina o de origen extranjero- que realicen actividades como Proveedores de Servicios de Activos Virtuales. También establece que la Comisión Nacional de Valores, se va a desempeñar como autoridad de aplicación para este segmento, como lo es el Banco Central para los Bancos.

Cabe destacar que actualmente tanto la Comisión Nacional de Valores, como la Unidad de Información Financiera, han emitido sus regulaciones para  develar de qué forma se debe avanzar tanto con el Registro de PSAV (Resolución 994 CNV) como con el sistema de PLA/FT a través de la Resolución UIF 49 que regula la actividad de los PSAV.

5. Se incorpora un capítulo referido a las Organizaciones Sin Fines de Lucro (OSFL).

La reforma de la ley trae como novedad  establecer un capítulo separado referido a las Organizaciones Sin Fines de Lucro, indicando que las mismas  pueden estar sometidas a abusos por Financiamiento del Terrorismo. Como ya hemos comentado en el primer apartado, las OSFL que habían sido Sujetos Obligados como personas jurídicas que recibían donaciones y/o aportes, con la reforma dejaron de serlo. El capítulo de las OSFL se encuentra alineado con la Recomendación Nº 8 GAFI. No obstante ello, los desafíos son enormes para el resto de los Sujetos Obligados que van a tener que considerar que la actividad desarrollada por la OSFL es de alto riesgo.  Asimismo deberán estar atentos a las nuevas pautas y/o resoluciones de la UIF que establezcan claramente como poner en práctica lo que indica este capítulo. Por ejemplo,  cómo hacer una gestión del riesgo de las mismas, a fin de establecer medidas adecuadas y proporcionales a los riesgos identificados, que promuevan la transparencia, integridad y confianza pública en la administración y manejo de dichas organizaciones, de qué manera desarrollar actividades formativas dirigidas a estas organizaciones con el fin de que conozcan los riesgos de financiación del terrorismo a los que están expuestas y las medidas de control interno que pueden implementarse para mitigarlos, de qué manera deben comunicar a las autoridades competentes las sospechas de que una determinada OSFL está involucrada en financiación del terrorismo y/o es una pantalla para la ejecución de actividades de financiación del terrorismo; o está siendo explotada como conducto para el financiamiento al terrorismo.

En base a estos preceptos sería recomendable que las OSFL no dejen de tomar recaudos respecto de sus clientes, es decir, que continúen aplicando la política del KyC[1] ( “Conozca a su cliente”) y que fundamentalmente para montos significativos que requieran documentación sobre el origen de los fondos.

[1] Know your Customer.

6. Se modifica el Código Penal.

Se  modifica el artículo 303 del Código Penal, que es el que establece el delito de lavado de activos, actualizando el monto de PESOS TRESCIENTOS MIL ($300.000) que la norma anterior utilizaba para distinguir entre una pena mayor, por encima del monto y otorgar la pena  prisión de 3 a 10 años y menor, por debajo del monto para otorgar la pena de de 6 meses a 3 años . Con la reforma se actualiza el monto a 150 SMVM por lo que quien cometa el delito y supere ese monto será reprimido con prisión de 3 a 10 años y multa de 2 a 10 veces del monto de la operación. Ahora bien, es importante señalar que hay un cambio significativo para el caso de que no se supera ese monto ya que el delincuente no va a recibir sanción de prisión sino una multa de 5 a 20 veces el monto de la operación.

Otro tema no menor es que también se penaliza de forma especial al funcionario público, la pena será aumentada en un tercio del máximo y en la mitad del mínimo y se agrega la pena de inhabilitación especial de 3 a 10 años.

Paralelamente se modifica el delito de Financiamiento del Terrorismo al modificar el artículo 306 del Código Penal, que incorpora a los combatientes terroristas extranjeros y se incluye todo tipo de activos (entre ellos activos virtuales) al tipo penal de financiación del terrorismo y algo muy importante es que se incorpora el delito de financiamiento de proliferación de armas con idéntica sanción que el financiamiento del terrorismo es decir, de 5 a 15 años y multa de  2 a 10 veces del monto de la operación. El tipo penal queda entonces configurado de la siguiente manera: “..También será reprimido con la misma pena de prisión y multa quien elabore, produzca, fabrique, desarrolle, posea, suministre, exporte, importe, almacene, transporte, transfiera, emplee, o que de cualquier forma prolifere; incrementando, acrecentando, reproduciendo o multiplicando, las armas de destrucción masiva señaladas en el párrafo anterior, sus sistemas vectores y sus materiales relacionados destinados a su preparación …”. Haber logrado incorporar  en nuestro Código Penal  el delito aludido, constituye un paso trascendental que nos aleja de la lista gris del GAFI. Ahora queda en manos del Ministerio Público Fiscal, de la Procelac, y demás organismos de investigación, detectar organizaciones criminales e inciar procesos penales y lograr condenas en relación al mismo.

7. Se modifica el régimen sancionatorio administrativo.

Con la reforma se incorporan una escala de variadas sanciones en el ámbito  administrativo que van desde el apercibimiento,  hasta multas de 15 a 2500 Módulos[1], es decir de entre PESOS SEISCIENTOS MIL ($600.000) a PESOS CIEN MILLONES ($100.000.000), por cada uno de los incumplimientos. La multa de 1 a 10 veces del monto de las operaciones  para los casos de no haber realizado el reporte de operación sospechosa (ROS) se mantiene, pero se actualizan los montos de las multas mediante el uso de una unidad de medida denominada Módulos. En tal sentido, antes de la reforma  las multas eran de PESOS DIEZ MIL ($10.000) a PESOS CIEN MIL (100.000), por incumplimientos de tipo normativo ( como ser, falta de actualización del Manual de PLA/FT, falta de identificación de clientes, falta de control de clientes contra lista de terroristas, falta de auditorias internas, etc) y sin duda estos montos  estaban muy desactualizados. Con la aplicación de la nueva únidad de medida se va a lograr multas mucho más significativas, ejemplificativas y que siempre estén actualizadas. También se agrega como novedad la sanción la inhabilitación para el Oficial de Cumplimiento hasta 5 años e igual sanción para los miembros del órgano de administración siempre que la infracción haya sido cometida por la persona jurídica.

Habrá que ir viendo cuando las mismas se implementen, si verdaderamente producen un efecto disuasivo para los Sujetos Obligados y si se  toma con mayor seriedad el cumplimiento de la norma comentada y de las regulaciones de la UIF específicas para cada Sujeto Obligado.

[1] El Consejo de Ciencias Económicas utiliza esta unidad de medida para establecer los honorarios de los profesionales . Se dispone un valor inicial del «módulo UIF» en $ 40.000.

8. Se establece un registro centralizado de Beneficiarios Finales.

La ley 27.739  indica que la Administración Federal de Ingresos Públicos (AFIP), organismo autárquico en la órbita del Ministerio de Economía centralizará, como autoridad de aplicación. En tal sentido el Artículo 29 establece que “…Todas las sociedades, personas jurídicas, u otras entidades contractuales o estructuras jurídicas, constituidas en la República Argentina o de origen extranjero que realicen actividades en el país y/o posean bienes y/o activos situados y/o colocados en el país, deberán informar su/s beneficiario/s final/es en los términos y bajo las condiciones que establezca la autoridad de aplicación, dentro del plazo de 60 días a contar desde la entrada en vigencia de la presente…”, con lo cual se deduce  que pronto va a salir la reglamentación respectiva, la cual tendrá que definir los lineamientos para el acceso a la información del aludido registro.

9. Conclusión

¡Muchas gracias Marcela Aizcorbe por este artículo!

Si quieren contactar a Marcela, pueden buscarla en Linkedin https://www.linkedin.com/in/marcela-aizcorbe-31436211/ y visitar su web personal https://mymconsultorescompliance.com.ar

Más sobre Marcela Aizcorbe en Todocompliance.com

Dra. Marcela Aizcorbe.

Este artículo es de propiedad de su autora Marcela Aizcorbe goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG). Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada Nuevo régimen para el Lavado de Activos y Financiamiento del Terrorismo (ARG). se publicó primero en TODOCOMPLIANCE.

Autor Dr. José Mª Ramírez Fernández. Governance, Risk & Compliance Senior Strategic Consultant. Linkedin. https://www.linkedin.com/in/jramirezfp/

1. Principales cometidos del Compliance Officer en el desempeño de su función empresarial.

Imaginemos el siguiente escenario:

Nos acaban de contratar en una organización, ya sea grande, mediana o pequeña empresa, con el objetivo de diseñar e implantar eficazmente un Sistema de Gestión de Compliance (en adelante el “sistema”) con un alcance corporativo.

Más allá de nuestra experiencia como Compliance Officer (en adelante “CO”) apenas contamos unas líneas claras de actuación emitidas por parte de la propia organización sobre cómo actuar para tal efecto.

Sólo sabemos que, nuestra nueva empresa, tiene cierta urgencia en adoptar un marco de control que permita identificar, gestionar y mitigar riesgos de cumplimiento para así tratar de evitar acciones irregulares efectuadas por parte de sus trabajadores, independientemente de su cargo y/o función, o bien por parte de sus socios de negocio, las cuales podrían derivar en la comisión delitos penal/legales, lo que sin duda supondría pérdidas financieras o pérdida de reputación, como resultado del incumplimiento de la legislación, regulación y normas de autorregulación y códigos de conducta que son de aplicación a su actividad.

Pues bien, es el día de nuestra incorporación, se comunica a toda la organización nuestro nombramiento como CO por parte del máximo órgano de administración, se nos dota de la independencia y autonomía suficiente para llevar a cabo nuestra función y también de determinados recursos para ello, aunque no los suficientes, y llega el momento de ponerse manos a la obra y, en la soledad de nuestro puesto de trabajo, preguntarnos eso de: ¿por dónde empiezo?

Sí, por dónde empiezo, máxime cuando nos encontramos en un entorno que muestra una notable resistencia a que el compliance entre a formar parte de su día a día, ya que, inexplicablemente, lo perciben más como una intromisión en su trabajo o un gasto en vez de una función empresarial que, además de aportar valor a todos y cada uno de los trabajadores, se encarga de asegurar la adopción de una cultura ética y sostenible que nos va a beneficiar a todos.

Respiramos profundamente, adoptamos una actitud positiva y motivadora por comenzar a trabajar en el que quizás pueda ser uno de los grandes retos a los cuales nos vamos a enfrentar en nuestra carrera profesional y nos disponemos a dibujar una hoja de ruta en la que figuren los principales hitos para poder llevar era cabo nuestra tarea, hitos que se podrían traducir en las siguientes etapas de desarrollo:

2. Análisis y comprensión de la organización.

Para diseñar objetivamente el sistema, debemos tener en cuenta determinados factores que nos ayuden a conocer aún mejor a nuestra empresa y el entorno en el que nos movemos, entre los cuales podemos destacar:

• Su tamaño, estructura y composición, fundamentalmente cuando hablamos de una multinacional que tiene una sede matriz que ha de controlar filiales en diferentes jurisdicciones, es decir, aquellas entidades sobre las que ejerce control.
• Miembros de la organización, sus cargos, funciones y responsabilidades, comenzando por el órgano de administración pasando por todas y cada una de las cajas que forman parte de su organigrama.
• Aquellos sectores de actividad de negocio en los que la organización opera o tenga previsto operar en el futuro.
• La naturaleza y complejidad de las actividades y operaciones de la organización.
• Aquellas obligaciones legales y normativas a las cuales está sujeta y que son de obligado cumplimiento.
• Las relaciones jurídicas o contractuales que mantiene con terceros y cómo se llevan a cabo: clientes, accionistas, reguladores, socios de negocio, proveedores y funcionarios públicos.
• Las políticas, procesos, controles y procedimientos existentes que cada área, departamento o unidad de negocio tiene implantado (i) para llevar a cabo su actividad laboral y (ii) para gestionar riesgos de cumplimiento.
• Aquellos aspectos materiales que son de interés para la organización como para las partes interesadas en materia de cumplimiento, e incluso en el ámbito social, medioambiental y de gobernanza.

Esta fase sin duda requiere no sólo mantener encuentros y reuniones de trabajo con los trabajadores para comprender cómo llevan a cabo su actividad laboral, sino también, estudiar y revisar toda aquella documentación y evidencias que nos permita entender la actividad y contexto interno de la organización.

3. Fomento del liderazgo responsable. 

El liderazgo es una pieza clave que se debe tener en cuenta en la adopción no sólo del sistema sino también de una cultura de cumplimiento que nos permita desempeñar nuestra actividad laboral aplicando criterios éticos y sostenibles.

En este sentido, la voluntad del órgano de administración a la hora de aprobar la adopción de este tipo de sistemas es fundamental, pues es el que ostenta el poder de gestión del mismo así como otras obligaciones atribuidas, en el caso de España por la Ley de Sociedades de Capital, como es la de actuar de acuerdo con el deber de adoptar las medidas precisas para la buena dirección y control de la sociedad (artículo 225 LSC), para que, entre otros aspectos, se lleve a cabo una gestión eficaz en la prevención de delitos, asegurando también el cumplimiento de todas las normas que afecten a la compañía y de los estándares éticos de la empresa.

Esto quiere decir que el órgano de administración debe, con el apoyo y reporte periódico del CO, garantizar, entre otros aspectos, que el sistema se implante de forma eficaz e impulsar y supervisar la adopción de modelos de vigilancia y control que aseguren el cumplimiento de las normas y los estándares éticos establecidos en el seno de la organización.

Como CO, debemos tener muy presente que nuestra relación con el órgano de administración ha de ser transparente y cercana.

Debemos ganarnos su confianza, informar periódicamente sobre el correcto funcionamiento del sistema y servir como guía para que todos sus integrantes no pierdan el foco de la importancia que supone contar con una cultura empresarial de cumplimiento, sirviendo ellos mismos como ejemplo de que hay que “hacer las cosas bien y de una manera responsable”.

Por otro lado, el CO debe emplear los esfuerzos necesarios para promover la existencia de un Comité de Compliance, que cuente con una sólida estructura y funciones claras de desempeño lo que, sin duda, será la llave para garantizar el correcto funcionamiento del sistema, el cual debe abarcar al conjunto de actividades y empleados de una empresa tanto a nivel local como internacional.

4. Asignación de recursos y responsabilidades.

Para poder desempeñar eficazmente nuestra función de CO, con todas las responsabilidades y obligaciones que ello conlleva, la organización debe aprobar y proporcionar la asignación de los recursos necesarios para el diseño, implementación, mantenimiento y mejora continua del sistema, recursos que deben contemplar los humanos, financieros y tecnológicos, así como la posibilidad de acceso a un asesoramiento externo especializado.

Teniendo además en cuenta que nuestra función puede tener un alcance global, asumiendo por tanto determinadas responsabilidades (ejm, compliane penal, gobernanza, gestión de canales internos de comunicación, investigaciones forenses, protección de datos, etc..) se justificará con mayor motivo la necesidad de:

• contar con un equipo de profesionales especializado para asignar roles y responsabilidades con sentido,
• disponer de un presupuesto que nos permita, por ejemplo, implantar un programa de formación integral en compliance para todos los empleados, e incluso, ofrecer programas de formación a equipos especializados, por ejemplo en la detección de operaciones relacionadas con el crimen financiero (fraude, la corrupción y blanqueo de capitales), y,
• contratar plataformas tecnológicas que nos permitan gestionar de una manera ágil y segura los riesgos, canales de denuncia o la recogida, análisis y gestión de datos en tiempo real.

Si bien es cierto que este sería el “mundo ideal”, como CO debemos ser conscientes de nuestras necesidades, tener en cuenta el sentido de proporcionalidad a la hora de solicitar recursos, y confeccionar nuestro propio presupuesto de compliance para poder justificar las mismas.

5. Identificación y análisis de riesgos.

Los CO somos puros gestores de riesgos. Confeccionamos mapas de aquellos riesgos que previamente hemos identificado, asignamos controles y medidas de vigilancia para mitigarlos (reducir su nivel de impacto o probabilidad) y establecemos planes de monitorización, revisión y evaluación.

Todo ello resulta indispensable para adoptar un sistema sobre una base correcta y lograr así su eficacia.

Si no se identifican, analizan y gestionan los riesgos de una manera adecuada, las organizaciones estarán aceptando riesgos por defecto y, si no se analizan y evalúan correctamente, el entorno de control y evaluación será inadecuado y, por tanto, difícilmente se alcanzará el objetivo de mantener una adecuada conducta en el seno de las organizaciones.

Las organizaciones actuales necesitan gestionar los riesgos en un entorno económico, social, regulatorio en constante cambio y en el que los riesgos, tanto los generales como los emergentes, son cada vez más impredecibles.

Como CO, debemos asesorar sobre las medidas apropiadas para mitigar los riesgos, establecer mecanismos para responder con prontitud ante los mismos, ser capaces de identificar cualquier debilidad existente en los controles establecidos y canalizar adecuadamente la información (reportar) para que llegue correctamente (en tiempo y forma) a los órganos de decisión y control interno (por ejemplo, a las comisiones de auditoría y control interno o comités de riesgos).

6. Evaluación de controles y medidas de mitigación. 

Como continuación al apartado anterior, podríamos decir que un sistema de gestión de riesgos de compliance se sustenta a través de:

• Controles generales, que se constituyen como base del control del riesgo y tienen eficacia para mitigar el riesgo genérico de comisión de delitos.
• Controles específicos, constituidos por medidas concretas cuya finalidad es mitigar un riesgo penal específico o un grupo de riesgos de compliance concretos.

Una vez identificados y definidos los controles asociados a cada riesgo, es necesario proceder a su evaluación, analizar su diseño, la efectividad de su funcionamiento y la automatización o no del control (un control manual, por ejemplo, será generalmente menos seguro que uno automático).

En ocasiones, los controles pueden estar bien diseñados (por ejemplo, un sistema de alertas para detectar operaciones sospechosas relacionadas con el blanqueo de capitales), pero su funcionamiento no es eficaz debido a deficiencias en la forma en la que se esté ejecutando.

De la misma forma, un control puede estar siendo ejecutado correctamente, pero estar mal diseñado. En ambos casos el resultado de la evaluación global del control (efectividad del control) será deficiente.

En definitiva, como CO debemos transmitir los siguientes mensajes, a la hora de impulsar internamente la implantación de controles que mitiguen los riesgos, tales como:

• Los riesgos, permiten Identificar el riesgo, la amenaza, vulnerabilidad, así como detectar posibles incumplimientos,
• Pueden materializarse en políticas, procedimientos automatizados, protocolos, manuales y/o sistemas de reporte,
• Deben estar sometidos a testeos periódicos a fin de garantizar su efectividad en todo momento,
• Deben ser proporcionales a la probabilidad y a los resultados potenciales de una mala conducta,
• Han de clasificarse entre controles generales (con alcance corporativo) y específicos (para la actividad/proceso/área).

A modo ilustrativo sobre el tema que ocupa este apartado, en la siguiente imagen se reflejan aquellos controles que son fundamentales para combatir el crimen financiero en las organizaciones:

7. Definición de un marco de control. 

Paralelamente al ejercicio de identificación, análisis y gestión de riesgos, como CO debemos comenzar a diseñar nuestro marco de control, es decir, desarrollar aquellas políticas y procedimientos internos que:

• regulen el sistema y,
• que sirvan como punto de referencia para trabajadores y las partes interesadas para saber cómo actuar ante cualquier situación irregular que pueda producirse (ejm, una situación de conflicto de interés).

Entre ellas, podemos destacar el Código de Conducta como columna vertebral del marco de control, un documento que ha de recoger los comportamientos y valores de conducta que deben seguir de manera obligatoria todas las personas que forman parte de una organización y, que constituye un claro ejemplo de lo que se denomina autorregulación, es decir, la capacidad de las organizaciones para regularse a sí mismas, cuyo éxito se pone de manifiesto cuando un empleado recurre al mismo o a sus responsables para resolver una situación susceptible de generar un riesgo de conducta.

Un documento que cualquier empleado, independientemente de su responsabilidad y/o categoría profesional, ha de tener en cuenta en el desarrollo de su actividad profesional y del cual, han de colgar otras políticas y/o procedimientos que regulen nuestra actividad empresarial y que sirvan para prevenir y gestionar riesgos, tales como:

• Plan de compliance penal (o plan de prevención de delitos penales).
• Políticas de prevención del soborno y conflictos de interés.
• Política anticorrupción.
• Reglamento del Canal de denuncias.
• Política de sostenibilidad.
• Manual de riesgos
• Plan de compliance medioambiental.
• Plan de compliance fiscal.
• Plan de compliance legal.
• Política de seguridad de la información.
• Política de diversidad.
• Política de igualdad.

8. Diseño del Plan de Formación.

Como parte de las tareas y responsabilidades del CO, se encuentra la de impulsar y supervisar el diseño e implantación de programas formativos en materia de compliance, con el objetivo principal de dar a conocer los riesgos a los que los empleados de una organización se enfrentan en su día a día, así como los medios disponibles para mitigar dichos riesgos.

Estos programas de formación deben tener en cuenta los siguientes aspectos para que así sean diseñados e implantados correctamente:

• Estar confeccionados a medida de las obligaciones y los riesgos de compliance relacionados con los roles y responsabilidades de los empleados.
• Llevarse a cabo al comienzo de la relación laboral con el empleado y posteriormente de forma continua.
• Estar alineados con el programa de formación corporativo e incorporado en los planes anuales de formación.
• Ser prácticos y fácilmente comprensibles.
• Ser lo suficientemente flexibles como para que puedan ser impartidos en varios formatos e idiomas para así atender las diferentes necesidades de las organizaciones, geografías y los propios empleados.
• Ser evaluados por su eficacia, actualizados y registrados.

En cualquier caso, la formación en compliance ha de estar diseñada de acuerdo con los perfiles de riesgo y las necesidades de los miembros de la organización y en función de la actividad profesional que desempeñan.

El programa o los programas de formación deben tener en cuenta las normas legales que les son de aplicación y las políticas internas de la organización, lo que ayudará a que los miembros de la organización conozcan las pautas con las que deben actuar y además les permite ser conscientes de las consecuencias de los incumplimientos.

Las formaciones deben clasificarse en:

• Formaciones genéricas: una formación global en materia de compliance que es común para todo el personal de la organización.
• Formaciones específicas: formaciones sobre materias específicas con un enfoque basado en riesgos, dirigidas al personal que esté relacionado con actividades expuestas a riesgos alto o medio, o que se hayan visto afectados por un riesgo que se haya materializado.

Paralelamente a una acción formativa, el CO también deberá desarrollar actividades de difusión y comunicación en materia de Compliance, por ejemplo, con motivo de la publicación de nuevas políticas o procedimientos que formen parte del sistema, cambios en la legislación, o cambios destacables nuestra organización.

9. Fomento del uso de los sistemas internos de formación.

En el desempeño de nuestra función como CO, una de las tareas más destacadas que debemos adoptar es la implantación de canales internos de información, o canales de denuncia, que permitan a los empleados comunicar cualquier hecho que presuntamente vulnere lo establecido en el código ético de la entidad, la normativa interna que rige a la misma o la legalidad vigente.

Estos canales han de estar sustentados bajo los principios de confidencialidad, respeto al anonimato de las personas que no deseen identificarse, imparcialidad y objetividad, ausencia de represalias respecto del informante que comunique de buena fe y respeto a los derechos de todas las partes involucradas en la gestión de los expedientes.

A parte de los distintos requerimientos normativos en la gestión de los canales de denuncias, como CO debemos tener cuenta una serie de principios que ha de regir su funcionamiento, concretamente en:

Fomentar una comunicación transparente sobre su existencia:

• Comunicar los empleados la existencia del canal y, concienciación continua sobre la importancia de utilizarlo.
• Dejar bien claro que la empresa cumplirá con el deber general de mantener al informante en el anonimato.
• Comunicar la existencia de un régimen específico de protección frente a las represalias que puedan sufrir las personas físicas que informen sobre infracciones normativas y la corrupción.
• Hacer hincapié en la protección de los derechos sobre protección de datos personales.
• Impartir formación interna en cuanto a la finalidad, objeto y el correcto uso del canal.
• Facilitar medidas de accesibilidad al canal en los distintos canales de comunicación existentes (web & intranet).

Medición de impacto y monitorización de resultados:

• Definición de indicadores cuantitativos, que contribuyan a medir y/o monitorizar el funcionamiento eficaz del canal (los denominados Key Performance Indicators o bien “KPIS”):
• Nº de comunicaciones recibidas en el Sistema.
• Nº de comunicaciones consideradas para investigación.
• Duración media de tramitación.
• Tipología de comunicaciones recibidas (ejm, comportamientos irregulares en contra de los principios y valores corporativos, relaciones laborales, fraude interno, acoso laboral, comercialización irregular de productos, igualdad de oportunidades, discriminación etc..).
• Nº de medidas sancionadoras aplicadas.
• Tipología de medidas adoptadas (ejem, despidos).
• Nº de acciones realizadas en el fomento del uso del canal.
• Nº de investigaciones abiertas (causas y motivos).

10. Reporte y transparencia informativa.

Para el CO, el hecho de depender directamente del órgano de administración implica tener vía directa de contacto o reporte al mismo, sin tener que solicitar permiso para la consulta o comunicación de información a otro ente u órgano.

En este sentido, y de manera anual, el CO reportará al Consejo sobre:

• Las necesidades económicas, humanas y materiales, para el cumplimiento de las obligaciones de cumplimiento, a la vista de los dictámenes internos de conclusiones que se emitan.
• El estado de la supervisión y actualización del sistema.
• Las necesidades derivadas del plan formación de compliance.
• Los resultados de las auditorías de compliance realizadas.
• Las consultas, denuncias, comunicaciones recibidas a través del canal de denuncias interno.

Por otro lado, el CO debe realizar tanto informes periódicos como informes específicos como elemento de control de manera estructurada y con fines concretos.

Los informes periódicos podrán tener un contenido y un formato estándar en la organización, incluyendo la información necesaria para que los miembros del órgano de administración puedan tomar decisiones acertadas y justas.

A continuación, podemos encontrar una serie de contenidos de los informes periódicos de compliance al órgano de administración:

• Principales novedades normativas adoptadas, previsión de nuevas normativas, estado de implementación de las normativas que impactan en la organización.
• Relación de nuevas políticas y procedimientos asumidos internamente, actualización de políticas y procedimientos existentes, incidencias acontecidas con las políticas internas.
• Número de empleados formados, acciones de concienciación y sensibilización realizadas, incidencias producidas en la formación.
• Relación con los organismos supervisores y estado de implantación de los acuerdos adoptados con los mismos.
• Revisiones realizadas del funcionamiento del sistema, deficiencias encontradas, medidas de remediación propuestas.
• Resultados obtenidos en las mediciones realizadas de los indicadores de riesgo (KRI) y en los indicadores de desempeño (KPI).
• Estado de implantación de las medidas correctivas derivadas de auditorías internas o externas, informe sobre su evolución, incidencias surgidas en la implementación de las medidas correctivas en fase de ejecución y acciones establecidas no realizadas.
• Número, tipología y objeto de reclamaciones, análisis de sus causas raíz, tiempo medio de resolución, incidencias no resultas, etc….
• Canal de denuncias: denuncias recibidas, investigaciones realizadas, conclusiones obtenidas, resoluciones adoptadas.

11. Supervisión y monitorización.

La monitorización se puede definir como “el proceso que evalúa la efectividad de los sistemas de control interno en su conjunto y que gestionan o mitigan los principales riesgos de una organización”.

La monitorización constituye un elemento esencial en cualquier programa de compliance, el cual nunca estará completo si no se realiza adecuadamente esa tarea de supervisión continua para verificar la adecuación de los controles existentes.

El plan de monitorización de compliance genera además un documento estructurado, que se elabora con carácter periódico (anualmente) en el que se definen y se documentan las tareas de supervisión que se van a ejecutar por parte de compliance durante el periodo.

Debe estar adecuadamente estructurado y documentado para posibilitar la aprobación por parte del máximo órgano de gobierno e indudablemente, desde ser elaborado por el CO, pero su aprobación debe ser realizada por la alta dirección de la organización.

El proceso de aprobación del plan de monitorización debe ser adecuadamente documentado y hay que tener en cuenta que, a lo largo del periodo que cubre el plan de monitorización pueden surgir circunstancias que hagan necesaria su modificación o adaptación, circunstancias que pueden ser tanto internas como externas a la organización.

Finalmente, es recomendable que cada cierto tiempo se proceda a revisar el plan de monitorización, verificando si la evaluación de riesgos realizada, la identificación de los controles o la información seleccionada continúan siendo adecuadas o no.

Este artículo es de propiedad de su autor José Mª Ramírez Fernández goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG). Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada La función del Compliance Officer. se publicó primero en TODOCOMPLIANCE.

Herramienta para evaluar la vulnerabilidad de las organizaciones.

Autor  Dr. Carlos A. Pérez Macías

Abogado con práctica profesional en temas de prevención de lavado de activos, compliance y gestión de riesgos. Director jurídico de C&D Consultores en Riesgos Patrimoniales S.C. 

Linkedin. https://www.linkedin.com/in/carlosaprez9/

Introducción.

Cada día es más común escuchar de la importancia de la implantación de los sistemas de gestión de compliance para las organizaciones, si bien el pionero en estas prácticas de riesgo es el propio sistema financiero. Así pues, en los últimos años el sector privado ha dado un paso al frente ante estas políticas, tal es el caso de sistema certificable de gestión de compliance ISO 37301.

A fin de desarrollar el tema de este artículo debemos ir más allá de la mera administración de riesgos por medio de los mencionados sistemas de gestión, y ubicarnos en una herramienta de gestión que aporte un análisis con visión hacia el futuro, reparando en las acciones a seguir para dar un tratamiento a las consecuencias de eventos extremos que estén previamente definidas, como insolvencia, problemas reputacionales, incumplimientos legales, etc.

Para ello, el presente documento tiene como objetivo concientizar acera de la importancia de estas pruebas para detectar vulnerabilidades ante diversos riesgos, como forma de prever la caracterización de los programas de pruebas de estrés y de esa forma promover su uso.

Pruebas de estrés.

Las pruebas de estrés, como parte de un sistema de gestión, requieren de la asignación de herramientas y recursos proporcionales, acordes a la complejidad de la actividad económica del negocio, el apetito del riesgo y el contexto de la organización.

La esencia de esta figura recae en que las empresas deberán mantener un programa de pruebas de estrés acorde a la complejidad de sus negocios y al nivel de riesgo, que prevea la aplicación periódica de estas pruebas bajo distintos escenarios, ya sea en aquellas áreas de la organización que tengan mayor vulnerabilidad o bien de manera integral.

Un tema que se correlaciona con las pruebas de estrés son los planes de contingencia o continuidad de los negocios, con los que se tendrá por parte de la organización las acciones a ser tomadas para mantener el funcionamiento de la organización y con ello, se obtendrán las verificaciones de las actuaciones para mantener el resguardo del patrimonio de la organización.

Lo que debe ser entendido por las organizaciones que quieran aplicar esta figura, es que las pruebas de estrés permiten definir mecanismos para afrontar las vulnerabilidades identificadas como resultado de la aplicación de estas.

El aspecto fundamental que se debe determinar para la realización de pruebas de estrés es el ámbito de aplicación, es decir, si las pruebas sólo se aplicaran a nivel individual o si el oficial de cumplimiento también mantendrá un programa de pruebas de estrés para evaluar las vulnerabilidades del sistema de la organización, es decir, pruebas de estrés agregadas.

Tipos de pruebas de estrés.

En primer lugar, podemos hablar de las pruebas de estrés individuales, las cuales deben abarcar de forma coherente y exhaustiva las particularidades de cada organización en términos de sus productos, líneas de negocio y partes interesadas conexas para evitar omitir riesgos que estén fuera de su alcance, de modo que estas sean relevantes al perfil de riesgo de la entidad.

Por ello, la elección de las pruebas de estrés deben ser las pertinentes y relevantes para los perfiles de riesgo y estructura de negocio. Además, los oficiales de cumplimiento en la determinación de los perfiles de riesgo y las estructuras de negocios de las organizaciones deben tener en claro que los riesgos no son constantes en el tiempo, por lo que el programa de pruebas de estrés debe tener la flexibilidad necesaria para adaptarse a cambios en la orientación del negocio y en los mercados.

El grado en que una prueba de estrés se acopla a las características del negocio y al nivel de riesgo de una organización deviene un aspecto fundamental, que determina la utilidad de esta como herramienta efectiva para gestionar con prudencia el riesgo del negocio, así como para elaborar planes de contingencia, que hagan frente a impactos de eventos extremos sobre los cuales se deba actuar.

Las pruebas de estrés bien elegidas permiten no sólo observar las debilidades ocultas que puedan comprometer la seguridad económica de las empresas, sino también que esas empresas pueden considerar que cuentan con una herramienta que permita una mayor capacidad de respuesta a eventos extremos que ocurran en el entorno de su negocio, principalmente en tema de solvencia.

En segundo lugar se encuentran las pruebas de estrés agregadas que, si bien tienen mayor campo de aplicación en los sistemas financieros, presentan una serie de retos de diversa índole que requieren de la participación de los oficiales de cumplimiento y pueden ser muy exigentes en términos de recursos y capacidades.

Las pruebas de estrés aplicadas, aunque pueden ser gravosas en el uso de recursos, demandar capacidades y aptitudes específicas, resultan en una serie de beneficios importantes como el aumentar las destrezas para identificar y analizar riesgos tanto de los oficiales de cumplimiento como de los integrantes de la organización, ofrecer elementos de control para aplicación de medidas reactivas, correctivas y prospectivas, todo lo que permite fortalecer el sistema de gestión y con ello evitar futuras crisis.

Base de la prueba de estrés.

Para que las pruebas de estrés tengan mayor eficacia, es necesario que las organizaciones cuenten con elementos que generen una mejor valía de este tipo de herramientas.

En primera instancia, se debe considerar el rol del gobierno corporativo dentro del programa de pruebas de estrés, en el cual la alta dirección debe ser la responsable final del programa de pruebas de estrés y tomar conocimiento de los resultados de estas, dictar las acciones a realizar e indicar a los niveles inferiores la responsabilidad de implementarlas.

Por otra parte, se debe reparar en las políticas y procedimientos por las que la alta dirección debe comunicar su compromiso con la realización de los ejercicios de estrés, así como aprobar las políticas sobre la materia y exigir que todos los integrantes de la organización hagan suyo ese compromiso y conozcan las directrices definidas en la política.

Las pautas otorgadas deben tener su sustento en la implementación de metodologías de las pruebas de estrés, con lo cual se pueden definir como la simulación de escenarios extremos para estimar el impacto potencial sobre distintos elementos tales como las carteras, la rentabilidad, solvencia y liquidez, entre otros, con el propósito de identificar riesgos o detectar vulnerabilidades. Con ello la metodología generará técnicas orientadas a evaluar la resistencia de una organización ante eventos adversos.

Algunas metodologías que pueden apoyar en las pruebas de estrés son las siguientes:

• Análisis de sensibilidad. Este tipo de análisis tiene como propósito identificar la vulnerabilidad de la organización a cambios en variables tales como volatilidad en las tases de interés, tipo de cambio o precios de activos.
• Pruebas de escenarios. Las pruebas de escenarios permiten obtener una visión articulada de la interacción simultánea de cambios en los diversos factores de riesgo y de sus efectos.

Una práctica de alto impacto en las pruebas de estrés es la identificación de escenarios, pues esta genera la determinación de la calidad de las pruebas y su utilidad como herramientas de gestión, dependiendo críticamente de la razonabilidad de los supuestos subyacentes a los modelos y de la adecuada especificación de los escenarios, como los siguientes:

Escenarios históricos. El enfoque más simple e intuitivo consiste en replicar escenarios adversos ocurridos en el pasado, en ese supuesto los cambios en las variables de riesgo observadas durante episodios de alguna contingencia en los sectores o áreas económicas sirve para medir la pérdida que resultaría si esa situación se repite.

Escenarios hipotéticos. Estos involucran una mirada prospectiva y permiten la simulación de efectos asociados a varios eventos simultáneos de muy baja probabilidad, pero de alto impacto.

Escenarios híbridos. Este tipo de escenario combina información de escenarios históricos e hipotéticos.

Como último punto base para la implementación de las pruebas de estrés tenemos a la medición y evaluación de los resultados, la evaluación del impacto de las pruebas de estrés debiera permitir identificar las mayores vulnerabilidades de la organización y así determinar el punto donde se originan los riesgos, sus efectos en la posición de solvencia y de liquidez de la empresa o entidad.

Conclusión.

La realización de pruebas de estrés permite detectar vulnerabilidades a eventos extremos, además, esta herramienta es un componente muy importante, tanto de una adecuada gestión de riesgos como de la evaluación de esta, principalmente en la búsqueda de resultados cualitativos en la eficiencia de capital.

Las organizaciones que ya cuenten con un sistema de gestión de riesgos deben considerar la implementación de pruebas de estrés, ya que es una herramienta útil para evaluar y monitorear la estabilidad de la empresa, principalmente para prevenir crisis económicas.

Finalmente, se debe mencionar que la utilización de pruebas de estrés será más explotada en el futuro, como una herramienta importante para el proceso de gestión de riesgos.

Todocompliance agradece especialmente al Dr. Matias Santiago Vallejos, Embajador de Topcompliance en Argentina, por su amable intermediación así como a las autoridades de Topcompliance.org.

El siguiente artículo ha sido publicado previamente en la Revista Digital Topcompliance Nº 4, pudiendo acceder al mismo mediante el siguiente enlace:

https://topcompliance.org/revista/

Este artículo es de propiedad de su autor Carlos  A. Pérez Macías, goza de la correspondiente protección de derecho de autor, de acuerdo a los términos de la Ley 11.723 de Propiedad Intelectual (ARG). Todocompliance.com reserva para sí el derecho a usar, copiar y reproducir total o parcialmente el contenido del presente, no obstante, no asume responsabilidad alguna por la veracidad, corrección y/o actualización del mismo. Queda prohibida su reproducción sin autorización previa y expresa de Todocompliance.com.

La entrada Pruebas de estrés. se publicó primero en TODOCOMPLIANCE.