KPMG Blogs

open

Category Archives: Sin categoría

Monedas digitales: mucho ruido…

Por Francisco Uría
on 23. 04. 2018

Las monedas digitales o criptomonedas no llevan mucho tiempo entre nosotros, pero han alcanzado una enorme notoriedad.

A día de hoy, como tantas veces sucede, las monedas digitales representan, al mismo tiempo, un riesgo y una oportunidad.

Los riesgos son claros: son instrumentos potenciales para la comisión de diversos delitos o para lucrarse anónimamente con ellos, especialmente en materia de blanqueo de capitales y también para la realización de posibles fraudes o estafas piramidales; pasando por episodios más o menos claros en los que errores tecnológicos han terminado por provocar pérdidas millonarias a los inversores.

Por otro lado, y desde la aparición de la primera moneda digital, el bitcoin, las criptomonedas han implicado también una oportunidad, muy clara en cuanto a la tecnología subyacente (blockchain).

Frente a este nuevo fenómeno, los reguladores financieros han reaccionado de modos muy diversos. Algunos de ellos se han apresurado a prohibir actividades o transacciones (sobre todo las ya famosas “ICOs”)  realizadas con estas monedas, tratando de evitar los riesgos que se han descrito, frente a los que el Fondo Monetario Internacional ha formulado claras advertencias. Otros, más comprensivos (p. e. Japón), han intentado encauzar parte de esa actividad y, en particular, las “ICOs” hasta los estándares habituales de los mercados regulados, equiparando esas operaciones con las transacciones sobre instrumentos financieros.

De este modo, en cada jurisdicción, las criptomonedas y las transacciones han sido lo que los reguladores y supervisores (sobre todo de los mercados de valores) les han consentido o no consentido ser.

Por último, el regulador global, el BIS, ha publicado un reciente informe que aborda la posibilidad de que las criptomonedas hasta ahora existentes pudieran ser reemplazadas por otras emitidas por las autoridades monetarias que sustituirían total o parcialmente el dinero físico en circulación. Si bien el informe considera innecesario este paso, el sólo hecho de que se esté planteando ilustra la importancia del fenómeno.

También el G-20, en su reciente reunión en Argentina, se ha ocupado de la cuestión dándose un plazo máximo hasta el verano de este año para tomar una posición formal al respecto, partiendo de que el Consejo de Estabilidad Financiera ya ha concluido con la posición de que las criptomonedas no suponen una amenaza para la estabilidad financiera global.

Y es que, al margen de los evidentes riesgos presentes, las monedas virtuales y la tecnología subyacente representan, sin duda, una oportunidad en la que la innovación puede permitir la realización de operaciones financieras de forma mucho más eficiente, rápida y barata. Por lo que debería tratarse de que la lógica prevención, asociada a la evitación de los riesgos que se han descrito, no termine por convertirse en un injustificado freno a la innovación.

La pelota está en el tejado del regulador. Es a él a quien corresponde determinar si la existencia de esas monedas y la realización de operaciones con ellas es una actividad lícita (si cumple con una determinada regulación) o no lo es y, en el primer caso, establecer la regulación que haga posible su desarrollo en condiciones de seguridad desde todos los puntos de vista.

Ese regulador al que nos referimos debería ser principalmente global, en todos los sentidos de la expresión.

El fenómeno del que hablamos es, hasta cierto punto, “monetario”, lo que, les guste o no, atañe a los bancos centrales. Asimismo, tiene un efecto potencial sobre el sector financiero, lo que incumbe a los supervisores bancarios, que deberían decir qué pueden hacer o no las entidades financieras en relación con estas monedas virtuales. Por último, se trata también de instrumentos para la realización de actividades de inversión, lo que atañe a los reguladores y supervisores de valores. Todos estos reguladores y supervisores deben estar implicados: una regulación fragmentada sería un error.

Por otra parte, y desde un punto de vista geográfico, se trata de un fenómeno global, con actores que tienen la capacidad de actuar de forma transfronteriza, por lo que no tendría sentido una aproximación regulatoria regional o nacional que sólo serviría para posibilitar un indeseable  arbitraje regulatorio.

Por último, los actores privados, incluidos los prestadores de servicios profesionales, y sobre todo mientras no se aclare el panorama regulatorio, estamos obligados a actuar con la máxima responsabilidad y cautela, distinguiendo entre los diferentes operadores y operaciones para detectar riesgos potenciales de fraude, blanqueo de capitales y otros, aplicando con rigor la normativa vigente, y manteniéndonos muy atentos a la evolución de esa regulación a la que todavía esperamos.

 

Autor: Francisco Uría es socio responsable de Sector Financiero de KPMG en EMA y socio principal de KPMG Abogados

Fuente: Publicado en Expansión el 23 de abril de 2018

Comienza el examen DJSI 2018 para las empresas más responsables del mundo

Por Jerusalem Hernández
on 10. 04. 2018

Como si de una de aquellas duras pruebas de Selectividad se tratara, las compañías más grandes del mundo se preparan desde ayer para ser evaluadas por los analistas de RobecoSam que prestan servicio a Dow Jones Sustainability Index. El examen ha comenzado y el proceso de respuesta durará al menos hasta el 31 de mayo, siempre que las compañías no soliciten una prórroga.

Cada año son invitadas a participar en la evaluación más de 3.500 compañías cotizadas de cerca de un centenar de sectores diferentes. Las 2.500 empresas más grandes del mundo según el S&P Global Broad Market Index son examinadas para formar parte del selectivo mundial, que finalmente solo acogerá al 10% de ellas. De entre las otras mil se seleccionará a las mejores para completar los índices regionales y nacionales existentes.

De todas las compañías “elegibles”, 30 serán españolas este año. Una más que en la pasada edición. Y como en la Selectividad, muchas de ellas han trabajado durante meses para estar a la altura en los cerca de 600 aspectos económicos, ambientales y sociales que se preguntan en el cuestionario.

Y no se equivocan, pues esta prueba no solo permite acceder al selectivo de las empresas más responsables del mundo, una consideración nada desdeñable en estos tiempos, sino que se ha convertido para muchas organizaciones en la mejor herramienta de diagnóstico de su responsabilidad corporativa y en un input muy valioso para diseñar su estrategia de sostenibilidad.

Este año, como todos, hay novedades en el cuestionario, y no son irrelevantes. La mayoría apuntan grandes desafíos globales a los que las organizaciones han de hacer frente con más decisión. Pero veamos algunas de ellas.

En las cuestiones relativas al gobierno corporativo, la calificación subirá si existe información pública sobre la remuneración en acciones del CEO y otros miembros de la alta dirección, y lo hará aún más si este es un requisito explícito. Diferentes estudios concluyen que el desempeño financiero de las organizaciones se ve positivamente influenciado si los gestores participan en la propiedad. Algo que, por otro lado, muchas empresas familiares llevan demostrando décadas.

Por el contrario, aquellas compañías con participación pública se verán penalizadas. La plena independencia en la toma de decisiones parece más confiable que la intervención o el control públicos. No faltan ejemplos que evidencian esta realidad, aunque tampoco faltan excepciones.

Las cuestiones relativas a la estrategia corporativa frente al cambio climático han sido también actualizadas. La importancia de este tema es indiscutiblemente creciente, así como sus impactos, que recorren todo el globo. No hay más que echar un vistazo a las conclusiones del último informe de la World Meteorological Organization (WMO), publicado hace apenas unos días y que muestra un año 2017 lleno de records, riesgos y fenómenos extremos que han causado grandes impactos. Muchos financieros, y otros muchos que no tienen precio (¿cuánto vale para tantas personas el impacto del hambre, las migraciones, la pérdida de su hogar o de sus recursos de subsistencia?).

La presentación en la cumbre del G20 de julio de 2017 de las recomendaciones del Task Force on Climate-related Financial Disclosures (TCFD) por parte del Finantial Stability Board (FSB), ha marcado un hito y ha fijado las reglas del juego del reporting en materia de riesgos derivados del cambio climático. Según el informe “Read or not: Are companies prepared for the TCFD recommendations?” publicado el pasado mes de marzo por el Climate Disclosure Standards Board (CDSB) y el Carbon Disclosure Project (CDP), aún queda tarea por hacer.

La evaluación de DJSI 2018 no es ajena a esta expectativa de divulgación y por eso solicita información sobre los diferentes escenarios de cambio climático que las compañías han empleado para informar su estrategia y evaluar sus riesgos. Mucho me temo que este será uno de los “cocos” del examen de este año, pues según el informe de KPMG “El camino por recorrer. Estudio sobre reporting de responsabilidad corporativa 2017”, solo el 28% de las 100 compañías más grandes del mundo reconoció en su informe anual los riesgos financieros derivados del cambio climático y apenas un 2% de estas los cuantificó.

El mercado interno de carbono, los objetivos de reducción de emisiones basados en la ciencia o los productos con bajas emisiones son otros de los asuntos nuevos sobre los que los analistas valorarán el desempeño y la estrategia ambiental de las compañías.

El otro gran “coco” será la evaluación del impacto y las externalidades. Aunque después de las malas notas recibidas por gran parte de las organizaciones en esta cuestión el ejercicio pasado, RobecoSam ha decidido concederles un “año de gracia” y la calificación de este punto no será considerada en la nota final. Es pues un buen momento para comenzar a explorar la metodología que mejor permita identificar esas externalidades, objetivar sus impactos positivos y negativos y llevarlos a un balance en forma de resultados económicos. RobecoSam recomienda algunas de ellas.

El pago de impuestos sigue siendo tendencia y es un criterio que se actualiza cada año desde su incorporación en la evaluación. Y es que en el entorno de escrutinio público e intolerancia en el que viven las empresas desde hace años, no todo lo permitido es aceptado y no todo lo legal es moral. La OCDE estima que cada año se dejan de pagar entre 100 y 240 mil millones de dólares en todo el mundo debido a las estructuras fiscales. Pero las autoridades están actuando y reclamando esas cantidades, por lo que puede existir un riesgo de impacto económico en el futuro.

Por eso, y atendiendo a una expectativa social, se solicita información detallada sobre los impuestos pagados (cuáles, cuánto y dónde). Si el importe resultante se aleja de la media de las organizaciones de los 24 grandes sectores (GICS), la compañía podría ser penalizada.

Uno de los nuevos asuntos incluidos en la evaluación del ejercicio pasado, la influencia política, también ha sido actualizado. Será necesario reportar el coste que supone para las empresas la participación en grupos de presión, aportes a campañas políticas, cuotas de asociaciones empresariales o think tanks. Además, las organizaciones deberán destacar sus dos principales “causas” y la posición que tienen en ellas.

Aunque a priori puede parecer inquisidor, este punto también permite conocer el papel que las compañías tienen como agentes de cambio positivo a través de su participación en diferentes iniciativas sostenibles.

El examen ha comenzado. Serán dos meses intensos, de reflexión interna, de toma de decisiones y, como siempre, DJSI habrá logrado su objetivo, ayudar a hacer mejores empresas y más rentables.

 

Autora: Jerusalem Hernandez es Directora en el Área de Sostenibilidad de KPMG en España

Las rarezas del Compliance

Por Alain Casanovas
on 04. 04. 2018

Facebook superó en Enero de 2018 los 2000 millones de usuarios. Si esta plataforma fuera un Estado, sería el más poblado del planeta, superando con mucho la demografía de China e India que no alcanza los 1.400 millones de habitantes. Bajo esta óptica, las políticas de utilización de Facebook y las prácticas asociadas con ellas conciernen a la mayor comunidad de sujetos del mundo. Es curioso que las entidades con capacidad de afectar a los derechos y obligaciones de tantas personas no sean Estados ni plataformas de Estados. La irrupción en escena de organizaciones dotadas de tal potencial requiere de una gestión ética exquisita, donde un desliz se paga muy caro: en una sola semana, Facebook perdía en Bolsa 50.000 millones de dólares tras sufrir el escándalo de la fuga masiva de datos.

Tampoco proceden de los Estados algunas normas que rigen nuestra vida económica. Fijémonos, por ejemplo, en la supervisión bancaria. El Basel Committee on Banking Supervision (BCBS), conocido generalmente como “Comité de Basilea” [Link 5] es una organización mundial que reúne a las autoridades nacionales de supervisión bancaria de diferentes países. Aunque no tiene cedidas capacidades legislativas y, por lo tanto, no puede emitir normas vinculantes, sus recomendaciones y estándares gozan de un indiscutible reconocimiento a nivel de los Estados y de los propios bancos. Su legitimidad no es jurídica sino técnica y, por eso, a ningún Estado o Banco se le ocurre ignorar sus directrices, por el riesgo de pérdida de credibilidad que eso entraña. La confianza en los sistemas financieros y sus bancos se fundamenta, en buena medida, sobre recomendaciones y prácticas que no tienen carácer jurídico (no proceden de Estados ni plataformas con capacidad legislativa cedida ni tampoco pueden exigirse coercitivamente) sino técnico, siendo un fenómeno que también se observa en otros muchos ámbitos.

Ahora que ya sabemos que un volumen creciente de normas que cohesionan la confianza en la actividad económica y social no son Hard Law (Leyes cuyo cumplimiento viene exigido por las autoridades) sino Soft Law (normas asumidas voluntariamente), hay que saber que las consecuencias de su transgresión pueden ser peores que los incumplimientos de las leyes tradicionales. Cuando una organización no es capaz de transmitir confianza al resto de operadores, corre el riesgo de provocar rechazo y auto-excluirse del mercado. Una de las mayores fortunas de los Estados Unidos, Warren Buffet, manifestó que llevaba 20 años construir una buena reputación y cinco minutos arruinarla. Con ello invita a la reflexión antes de adoptar una decisión, subrayando la importancia de actuar con integridad.

En el ámbito del soborno, por ejemplo, todos conocemos casos que han afectado a grandes organizaciones y cuyo nombre quedará unido al mal ejemplo. Nadie quiere ver su prestigio asociado con ellas y, por eso, en ocasiones han debido invertir ingentes sumas para revertir esa percepción, incluyendo, por qué no decirlo, costosas campañas de mejora de imagen.

Suele decirse que los incidentes de Compliance son “killers”, es decir, susceptibles de terminar con la organización que los sufre. Este efecto proviene de su capacidad de provocar repudio, circunstancia que ninguna organización puede permitirse, sea debido a su propia conducta o por frecuentar amistades peligrosas. Cualquier atisbo de irregularidad ética o de cumplimiento puede desencadenar una crisis de confianza y, por ello, las empresas huyen de tales escenarios como si fueran serpiente de cascabel.

Este contexto explica la pujanza que la función de Compliance está observando en la comunidad internacional, dando lugar a nuevas necesidades laborales y brindando oportunidades de desarrollo profesional a perfiles comprometidos con una gestión responsable. En el documento publicado este mes dentro de la Serie Compliance avanzado trato, precisamente, diferentes opciones de carrera profesional relacionadas con el Compliance. Son las posiciones que ocuparán personas llamadas a desempeñar un rol clave en el desarrollo de actividades económicas y sociales de manera responsable.

La edad de piedra en la evaluación de riesgos del cambio climático

Por Marta Contreras
on 22. 03. 2018

En los últimos meses se ha hablado mucho de la cuantificación, desde el punto de vista económico, de los riesgos que supone el cambio climático para las entidades. Prestando un especial foco, como no podía ser de otra forma, en el sector financiero.

Es un asunto que no es nuevo. De hecho, el Global Reporting Initiative (GRI) lleva incluyendo en sus estándares, desde que publicara la versión G3, allá por el año 2006, un indicador relacionado con las consecuencias financieras y otros riesgos y oportunidades para las actividades de la organización debidos al cambio climático. Pero se respondía de una forma más o menos cualitativa (en el mejor de los casos) y no se le otorgaba demasiada importancia.

Sin embargo, últimamente se ha renovado el asunto como trendic topic. Esto ha sido gracias a que los ministros de economía del G20 encargaran al Financial Stability Board (FSB) la creación de un grupo de trabajo, el Task Force on Climate-related Financial Disclosures (TCFD), y se publicaran las recomendaciones para el reporte de los riesgos climáticos y para la utilización de escenarios. Y gracias, también, a que la Comisión Europea estableciera recomendaciones emitidas por un grupo de expertos de alto nivel, en materia de finanzas sostenibles.

Como consecuencia de la relevancia que está adquiriendo esta cuestión, tanto por la cantidad de documentación publicada como por la calidad de los organismos implicados, en el sector se está empezando a trabajar (en serio) en este sentido. Y comienzan a diseñarse programas de formación específicos para profundizar en la materia, que aúnan la perspectiva financiera, con la ambiental o sostenible. Algo básico para que esto avance, por otra parte.

Sin embargo, en España sucede algo que resulta, al menos, curioso. Y es que a estas alturas de la película hay que convencer a nuestros homólogos financieros de que se trata de un riesgo real que va a afectar a sus carteas de inversión, emisión de bonos y concesión de créditos. Son aspectos que, si bien se comienzan a considerar en las políticas de inversión, actualmente no se tienen en cuenta, en absoluto, en la evaluación de los modelos de riesgos de impago, por ejemplo.

Recientemente, en un encuentro global de la práctica de sostenibilidad, trasladé el punto en el que estábamos en España en cuanto a la discusión de si este era realmente un riesgo financiero. Los responsables de la práctica en otros países no salían de su asombro. En los países nórdicos, por supuesto, existe una conciencia sobre el tema mucho mayor por lo que aquí no les voy a contar nada que no sepan. Pero me llamó la atención la diferente perspectiva que se tenía desde la práctica de México, por ejemplo. Para ellos, el riesgo financiero asociado al cambio climático era un riesgo absolutamente palpable que sólo con asomarse a la ventana se podía oler. Tanto el gobierno, como todo tipo de empresas (y por tanto el sector financiero y de seguros en su conjunto) están teniendo pérdidas millonarias asociadas a los fenómenos extremos.

De todo esto lo que debemos aprender es que es hora de pasar de la edad de piedra, al menos, a la edad de bronce en materia climática. Tenemos que superar la fase de centrar los esfuerzos en aportar argumentos y debatir sobre la existencia (o no) de este tipo de riesgos. Tenemos que centrarnos, primero, en tener bien claro cuáles son los riesgos más críticos para comenzar por ahí. Segundo, en cuantificar su potencial impacto financiero. Y tercero, en la identificación de los escenarios que se puedan emplear para la evaluación de cuál podría ser la probabilidad de ocurrencia de cada uno de ellos. Y con eso, definir un umbral de riesgo y trabajar para minimizar los que superen dicho umbral.

Y también se deberían centrar los esfuerzos, dicho sea de paso, en intentar que nuestros reguladores apostasen por los riesgos de transición (en especial los regulatorios) para que sean más altos que los riesgos físicos. Y para que no lleguemos a un punto irreversible, superior a los 2ºC de aumento que se acordó en la cumbre de París. Ya que a este paso, no llegamos.

 

Autora: Marta Contreras es senior manager de Sostenibilidad de KPMG en España

¿Qué precio tiene la ciberseguridad en un proceso de M&A?

Por David Höhn
on 21. 03. 2018

Cuando una empresa contempla llevar a cabo una fusión o adquisición (M&A, por sus siglas en inglés) y ha identificado su objetivo o target, llega el momento de revisar los números y llevar a cabo el proceso de due diligence, con el fin de valorar activos, datos financieros, proyecciones, valor de marca, potenciales sinergias, estrategia, amenazas, vulnerabilidades, etc.

Pero hay un aspecto que no siempre se está incluyendo debidamente en este proceso de due diligence y que, sin embargo, es crítico: ¿cómo está la ciberserguridad de esa empresa? ¿Tiene unos sistemas de seguridad robustos y cumple con la normativa vigente? ¿O se trata de un factor al que los administradores no han prestado la debida atención?

La pregunta no es una cuestión baladí. Debería plantearse en cualquier operación corporativa, con independencia del  tamaño o sector. Porque no hay industria ni compañía que sea ajena al proceso de digitalización que vivimos y que, desde el punto de vista empresarial, afecta progresivamente a todas sus funciones y procesos.

La conectividad de las personas, las empresas y las cosas (IoT) conlleva, ineludiblemente, riesgos de ciberseguridad. Desde bases de datos propios y de clientes que hay que proteger, wifis y móviles inteligentes corporativos, cámaras de vigilancia, sensores que captan información, sistemas robóticos, sistemas de control en edificios y plantas industriales, banca online y procesamiento de pagos, sistemas de CRM, logística, procesos, etc. Todo debe estar protegido de unos ciberdelincuentes – el cibercrimen supera ya en volumen a la delincuencia tradicional – cada vez mejor organizados y que buscan lucrarse mediante el robo de datos, credenciales, suplantación de identidades y otro tipo de delitos.

¿Qué ocurre si, por no valorar a tiempo los riesgos de ciberseguridad de una empresa antes de ser adquirida, éstos acaban estallando? Los efectos son de sobra conocidos. Desde multas, cada vez más elevadas, por incumplir con la debida obligación de protección de la información (el reglamento europeo de Protección de Datos, RGPD, contempla multas de hasta el 4% de la facturación), hasta el coste económico que supone la pérdida de servicio y los sistemas de restauración durante ese tiempo. Y, lo más preocupante, el daño reputacional que sufre la organización cuando ese fallo de seguridad queda al descubierto y que, sin duda, llevará consigo una pérdida de negocio y de clientes que, en el peor de los casos, puede llegar al 20-40% de los mismo. A modo de ejemplo, un caso real: fue después de una adquisición, en pleno proceso de fusión, cuando el comprador descubrió una importante brecha de ciberseguridad en la empresa adquirida, que afectaba a los datos personales de más de un millón de usuarios del target.

Si la ciberseguridad es un riesgo estratégico, que puede afectar a la imagen la empresa y a sus resultados financieros y, por tanto, debe figurar en la agenda de los consejos de administración, ¿tiene sentido obviar un proceso de due diligence de Ciberseguridad? Desde nuestro punto de vista, ninguno. Al contrario. La revisión de los procesos, sistemas, controles y gobierno de la seguridad debería ser una práctica habitual, dada la relevancia y dimensión de los riesgos. Como dijo Jason Weinstein, procurador del Departamento de Justicia de Estados Unidos durante quince años, “cuando compras una compañía, estás comprando sus datos y puedes estar comprando también sus problemas de seguridad con los datos”.

Según una encuesta de NYSE Governance Services,  el 85% de los directivos reconoce que una brecha en la ciberseguridad en una compañía target puede tener serias implicaciones en la transacción; un 22% dice que paralizaría la compra y un 52% asegura que rebajaría el precio de la misma. Sin embargo, la realidad es que, a día hoy, la due diligence de Ciberseguridad no está totalmente implantada, y existen cada vez más casos de operaciones de M&A en las que ha habido problemas de ciberseguridad.

¿Qué se debería hacer para evitar llegar a este tipo de situaciones? En KPMG hemos desarrollado una metodología específica de evaluación de los riesgos de ciberseguridad aplicada al proceso de due dligence  que es válida tanto para el comprador como para el vendedor. Esta metodología utiliza herramientas de due dilligence tales como entrevistas y revisión de documentación y análisis de  la situación de la ciberseguridad desde diferentes ópticas: Gobierno, Modelo Operacional, Arquitectura, Detección  y Respuesta.

El punto diferencial está en lo que llamaríamos el ‘levantamiento de la huella digital de la empresa adquirida’. Se trata de una técnica no intrusiva, ya que no se entra en los sistemas internos de la compañía, que nos permite evaluar el grado de información pública o expuesta de la compañía target. Ello unido al know how de nuestros expertos en la materia, nos permite evaluar con exactitud el grado de madurez de los sistemas de control y aportar, mediante datos cuantitativos y cualitativos, las potenciales brechas de seguridad a las que la sociedad se puede enfrentar.

Analizamos no sólo la información disponible en la superficie de Internet (Surface Web) sino también en las profundidades de la web (Deep y Dark Web), donde los hackers bucean con libertad, y permite detectar indicios de riesgos que se están incubando. Es allí donde podemos evaluar si hay o no información confidencial de la compañía target que está siendo comercializada por ciberdelicuentes.

En resumen, no valorar los riesgos de ciberseguridad, no solo deja en el aire cualquier proyección sobre el rendimiento real de la operación de M&A en curso, sino que también deja activadas bombas de relojería que pueden estallar en cualquier momento en el seno de la organización adquiriente. Por todo ello, es recomendable realizar, en su debido momento, una adecuada due diligence de Ciberseguridad.

 

Autores:

Alejandro Rivas-Vásquez, Director de Ciberseguridad de KPMG en España

David Höhn, socio de Deal Advisory, responsable de Transaction Services de KPMG en España

Obsequios, hospitalidad y sobornos

Por Alain Casanovas
on 07. 03. 2018

Un equipo de investigadores de la Universidad de Australia Occidental (UWA) descubrió y documentó recientemente un delfín ofreciendo obsequios a otro. El ejemplar de delfin (Sousa sahulensis) recogía del fondo marino una esponja para obsequiar con ella a un ejemplar hembra, se intuye que con intenciones amorosas… No es el único ejemplo de obsequios en el mundo animal, habiéndose observado también en otros mamíferos, aves e incluso insectos. Es más, se producen obsequios entre especies, como las piedrecillas y demás objetos que recibe la pequeña Gabi Mann de los cuervos de su barrio de Seattle, que tanto sorprenden a los investigadores.

La práctica totalidad de exploradores, desde Marco Polo en tierras de Asia hasta el Capitan Cook en los mares australes, recurrieron a obsequios para entablar relaciones de concordia con las poblaciones locales y poder así continuar sus viajes en paz. Normalmente, fueron correspondidos de igual modo, aunque dichas comunidades no hubiesen establecido antes contacto con la civilización occidental. El ritual de obsequiarse recíprocamente no obedece a una sola cultura, estando profundamente arraigado en el ser humano. Sociólogos y economistas discuten el sentido de esta liturgia, omnipresente en nuestros usos y costumbres, sin que todavía hayan concluido al respecto: algunos dicen que nació como elemento igualador de la riqueza, mientras que otros apuntan a que es una forma de apuntalar el poder y jerarquía entre sujetos. Posiblemente haya algo de cierto en estas aproximaciones, pero lo que está fuera de dudas es que las atenciones sociales favorecen cimentar vínculos emocionales positivos. O al menos esta esperanza albergaba nuestro delfín enamorado.

Las prácticas de hospitalidad también las hallamos en muchas culturas, desde los pueblos Inuit en Groenlandia, Siberia y norte de Alaska y Canadá, hasta las comunidades Pashtun de Pakistan y Afganistan, pasando por las tribus bereber en el norte de Africa. Procurar a las personas que se hallan fuera de su entorno los medios que les faciliten desenvolverse e incluso garanticen la supervivencia es una costumbre igualmente extendida, que podría ser una derivación de la denominada “Regla de oro” presente en todas las culturas y religiones: tratar a los demás como quisiéramos ser tratados.

Sería erróneo pensar que la función de Compliance pretende erradicar usos sociales de aceptación general, comunes además en muchas civilizaciones. Kenneth Clarke, Secretario de Estado para la Justicia, prologó en marzo de 2011 la Guía de aplicación a la UK Bribery Act del Ministerio de Justicia británico. Sentados los esfuerzos que se esperan de las organizaciones en la lucha contra la corrupción, señala literalmente que nadie pretende prohibir el acercamiento a sus clientes llevándolos a Wimbledon o al Grand Prix. Es una forma de remarcar que no hay que confundir las conductas corruptas con usos socialmente aceptados. Pero, ¿dónde está la frontera?

Basándonos en la definición de soborno que contiene el estándar más moderno sobre la materia, la norma ISO 37001 sobre sistemas de gestión antisoborno, los comportamientos de soborno suponen una conducta ilegal que constituya un incentivo o la recompensa a un trato de favor. Aunque los usos socialmente aceptados no suelen ser ilegales, es cierto que, dependiendo de sus características y las circunstancias en que se producen, pueden llegar a considerarse o ser percibidos como sobornos. La cuantía económica de la atención, su transparencia, el destinatario o el momento en que se producen son factores a considerar a la hora de evaluar la permisibilidad de determinadas prácticas. Son cuestiones que trato en el documento número 3 de la Serie sobre Compliance avanzado, analizando la taxonomía moderna de actividades conflictivas desde la perspectiva de la corrupción, que incluyen aquellas que pueden encubrir un soborno o ser interpretadas como tal.

En cualquier caso, normalmente se espera de la función de Compliance mucho más que negar los obsequios y actos de hospitalidad irreflexivamente, desarrollando y documentando los análisis que justifiquen incardinar o rechazar ciertos usos sociales en el contexto de una gestión empresarial responsable, alejada de tratos de favor y ventajas anticompetitivas. No es tarea fácil en un mundo culturalmente diverso, pero tal complejidad es la que precisamente requiere profesionales formados y con fundamentos sólidos de Compliance.

Por una mejor regulación financiera en Europa

Por Francisco Uría
on 08. 02. 2018

Las instituciones financieras de toda Europa están dedicando un esfuerzo y recursos crecientes a la implementación de la nueva regulación financiera y a su cumplimiento.

Aunque parece que el famoso “tsunami regulatorio” podría estar llegando a su fin una vez alcanzados los acuerdos de cierre de Basilea III, quedan todavía desarrollos regulatorios pendientes de gran relevancia en los que las entidades se juegan el diseño de sus planes estratégicos y sus previsiones de ingreso y rentabilidad.

Los temas no pueden ser más diversos: desde temas marcadamente prudenciales (el paquete CRD IV, la nueva agenda de la resolución bancaria –a vueltas con el famoso “MREL”), a normas contables (IFRS 9 o las nuevas reglas aprobadas por el Banco de España), normas de conducta (MIFID II o PRIIPs),  normas que afectan a determinados productos (crédito inmobiliario), servicios (PSD 2 en lo relativo a los servicios de pago), mediación de seguros (IDD) e incluso el efecto de normas de ámbito de aplicación más amplio que el sector financiero pero que están llamadas a tener un gran impacto sobre las entidades (como sucede con el nuevo Reglamento de Protección de Datos). Eso por limitarme a citar las normas más relevantes.

Al margen de este impacto “general”, quisiera destacar el esfuerzo combinado que algunas de esas normas requieren en estos momentos. Me refiero concretamente a MIFID II, PSD 2 y el citado Reglamento de Protección de Datos.

El impacto agregado de esas normas es enorme, y también son abundantes las interrelaciones entre ellas de modo que la implementación de cada una debe realizarse teniendo en cuenta los efectos que produce la otra.

La Comisión Europea debería haber sido consciente del esfuerzo que suponía establecer calendarios de transposición e implementación de esas normas al mismo tiempo (primer semestre de este año) y, a la vista de esa coincidencia, establecer un calendario de implementación sucesiva y no coincidente. Ese calendario hubiera permitido “priorizar” la adopción por las entidades de los nuevos requerimientos, lo que se hubiera traducido, sin duda, en procesos de implementación más ordenados y, seguramente, en un mejor cumplimiento normativo futuro.

Y es que, en contra de lo que pueda creerse, los recursos disponibles en las entidades para atender a los deberes de implementación regulatoria, adaptación de procesos y sistemas y cumplimiento normativo no son ilimitados.

Las normas que se han descrito tienen en común dos características singulares: su efecto sobre el modelo de negocio de las entidades, lo que obliga a realizar una reflexión estratégica en relación a su posicionamiento en el mercado, y su impacto transversal que obliga a buena parte de las unidades de la entidad (negocio, asesoría jurídica, cumplimiento normativo, asesoría fiscal, sistemas, recursos humanos…) a participar en los trabajos de implementación.

Los análisis de impacto de las normas que realiza el regulador tienden a desconocer su impacto agregado desde un punto de vista sustantivo. Por poner un ejemplo, no creo que pueda considerarse el impacto del MREL de forma aislada sino de forma conjunta con los nuevos requerimientos de capital, liquidez y apalancamiento de las entidades. Sólo este ejercicio omnicomprensivo permitirá comprender el impacto real de las nuevas normas.

Del mismo modo, habrían de medirse los esfuerzos necesarios para la implementación de normas de un elevado impacto sobre el modelo de negocio, los procesos y los sistemas de las entidades tratando de evitar que coincida en el tiempo la implementación de varias de ellas, como ha sucedido en estos meses.

La mejor regulación (better regulation) también debería consistir en no pretender cambiarlo todo al mismo tiempo.

 

Autor: Francisco Uría es socio responsable de Sector Financiero de KPMG en EMA y socio principal de KPMG Abogados

Fuente: Expansión. Publicado el 08 de febrero de 2018

 

Fraude y compliance

Por Alain Casanovas
on 07. 02. 2018

Adoptar decisiones sin disponer de información o con información deficiente es, per se, una conducta de riesgo. Por este motivo, manejar a tiempo información de calidad es un factor clave en todo modelo de Compliance robusto.
Las metodologías más difundidas sobre evaluación de riesgos requieren identificarlos, analizarlos y finalmente valorarlos, determinando así tanto su probabilidad de ocurrencia como las consecuencias que se producirían en tal caso. Sobre esta estimación se puede fundamentar una prioriorización de riesgos, que es un ejercicio necesario para establecer una correcta asignación de recursos en su prevención, detección y gestión.

Dentro de los factores que determinan la probabilidad de materialización de riesgos figura su historial: cuando están asociados a circunstancias que han ocurrido y no se ha actuado de manera efectiva sobre ellas, persistirá la probabilidad de que se reproduzcan. Sin embargo, esta información histórica suele ser muy escasa en materia de Compliance penal, no sólo por la novedad del régimen de responsabilidad penal de las personas jurídicas en muchos países (como sucede en España), sino también por la infrecuencia de los incumplimientos que adquieren dimensión penal. A diferencia de lo que sucede al evaluar otros riesgos de Compliance, como los de incumplimientos administrativos o civiles, aquellos casos que terminan ante la jurisdicción penal, aunque aumentan cada año, son todavía excepcionales. Eso sí, sus consecuencias suelen ser catastróficas.

Puesto que al evaluar riesgos penales se afronta esta escasez de antecedentes, suele recurrirse a información histórica análoga, considerando los casi-incumplimientos y los incidentes de naturaleza civil o administrativa de gravedad. En este contexto de analogía, es importante considerar los episodios de fraude interno sufridos en la organización. La principal diferencia al analizar el fraude en las organizaciones y sus incumplimientos es que del primero son víctimas mientras que de los segundos son autoras. Sin embargo, ambos conceptos comparten elementos comunes que deben conocerse.
Las experiencias pasadas de fraude interno brindan una idea aproximada del entorno de control: aquellas organizaciones que no son capaces de prevenir, detectar y gestionar las situaciones de fraude, posiblemente tampoco lo son respecto de los riesgos penales. Sufrir fraudes internos de calado pero asegurar que el control penal es robusto es una incoherencia, dado que ambas esferas enlazan con un mismo sustrato: la cultura de la organización y sus controles. Esta obviedad me conduce a explicar la aplicabilidad del llamado “Triángulo del fraude” en el ámbito del Compliance.

Los factores que llevan al personal de una organización a cometer un fraude en perjuicio de la misma se pueden resumir en tres elementos que ocuparían los vértices de un triángulo imaginario: la motivación, la oportunidad y la racionalización. La motivación es la razón última que impulsa al sujeto a cometer un fraude, como cubrir sus deudas, sus dependencias (a sustancias, ludopatía) y otros condicionantes que le incitan a actuar en beneficio propio y en perjuicio de la organización. La oportunidad la brindan aquellas circunstancias que posibilitan desarrollar su conducta, como ostentar un cargo que permita operar impunemente, la ausencia de directrices y controles, etc. La racionalización es el proceso subjetivo que desarrolla el sujeto para justificar su conducta ante sí mismo o incluso frente a terceros: no me pagan lo suficiente, la empresa no lo necesita, etc.

Estos mismos elementos están presentes en bastantes incidentes de Compliance, aunque con matices diferenciales. Así, por ejemplo, a la motivación individual se añade la corporativa, pudiendo darse aisladamente o de forma conjunta. El obtener un bonus, por ejemplo, puede ser un elemento que incentive a pagar un soborno a un tercero para ganar un proyecto, pero la conducta desviada (sobornar) puede igualmente producirse sin necesidad de tal bonus, bajo la creencia de estar actuando de manera correcta para los intereses de la empresa. Los factores de oportunidad van muy ligados al entorno de control, y por eso en Compliance penal se exigen unos niveles de diligencia especiales frente a las llamadas “personas especialmene expuestas”, que son aquellas con intervención relevante en actividades con riesgo penal superior a bajo. Cuando este grupo queda huérfano de supervisión, aumenta la oportunidad de que desarrolle conductas desviadas, que cristalizarán tan pronto concurra una motivación y el eventual proceso de racionalización. Los argumentos clásicos con que se racionalizan las conductas desviadas en Compliance son bien conocidos: nadie cumple con las normas, se exigen unos objetivos comerciales sólo alcanzables mediante ciertas prácticas, etc. Normalmente, ese proceso de racionalización atraviesa por interpretar que la organización observa una conducta hipócrita, exteriorizando unos valores pero exigiendo de facto conductas que los contravienen. Por este motivo, la claridad de los mensajes de Compliance y la coherencia en el modo de aplicarlos dota de legimitidad a la función y obstruye los procesos de racionalización.

La información sobre el fraude interno es trascendente desde la perspectiva de Compliance y, por eso, nunca está de sobras entrevistarse con los responsables de la organización dedicados a su prevención, detección y gestión. Con gran probabilidad, este diálogo nos ilustrará sobre la complejidad de la psique humana, viendo que las construcciones intelectuales que justifican el fraude interno son extrapolables en gran medida al Compliance. Dentro de la Serie de documentos sobre eCompliance avanzado, este mes publico el relacionado con la psicología social y cognitiva en Compliance, abordando una serie interesante de sesgos que pueden condicionar conductas desviadas, de aparición recurrente en los incidentes del Compliance.

Adiós al Compliance tedioso

Por Alain Casanovas
on 12. 01. 2018

Parte de los procedimientos de diligencia debida en Compliance consisten en la evaluación de las contrapartes de negocio. Cuando se trata de empresas, no es inhabitual que se analice su nivel de compromiso con la ética y la legalidad así como las medidas de control que han dispuesto a tales efectos. En ocasiones, estas tareas se canalizan mediante cuestionarios de compliance, que incluyen preguntas clave y solicitan evidencia documental de ciertos aspectos (Código Ético, Política antisoborno, etc). Cada vez más organizaciones desarrollan estos procedimientos –y también los sufren-, aunque es una actividad que disminuirá drásticamente en el corto plazo.

En el fondo, cuando se emplean cuestionarios de compliance para analizar respuestas y documentos, no sólo se invierte un volumen relevante de tiempo sino que incurre en algunos riesgos: dejar de interpelar sobre algunas cuestiones o errar en la valoración de las respuestas y documentos aportados abre la puerta a debatir una posible falta de diligencia. Desde luego, de un tiempo a esta parte no quedaba más opción que asumir ese coste y riesgo, pero la publicación de estándares internacionales abre un abanico de posibilidades que reducirán drásticamente estas desventajas. En octubre de 2016 se publicó el estándar internacional ISO 37001 sobre sistemas de gestión antisoborno, y en mayo de 2017 la Norma UNE 19601 sobre sistemas de gestión de compliance penal. Ambos textos se han emitido por entidades de normalización y reflejan un estado del arte generalmente aceptado en sus respectivas materias.

En las últimas semanas, hemos visto en la prensa económica noticias relacionadas con grandes organizaciones, principalmente del IBEX, anunciando la alineación de sus modelos de Compliance con los requisitos de la Norma UNE 19601, y seguiremos viendo comunicaciones en ese sentido durante los meses venideros. Este movimiento refleja el avance de grandes organizaciones hacia modelos de Compliance acordes con las buenas prácticas estandarizadas, pero también anticipa el esfuerzo que exigirán de sus socios de negocio. Puesto que terceros independientes pueden desarrollar evaluaciones de conformidad de modelos de Compliance basándose en lo establecido en dichos estándares, su opinión técnica evitará, en bastantes ocasiones, el empleo de cuestionarios y su posterior análisis por parte de las organizaciones. Por su parte, los potenciales socios de negocio que disfruten de tales opiniones generarán una mayor confianza en el mercado, ahorrando a sus contrapartes el tiempo y esfuerzos necesarios para evaluar directamente su modelo de Compliance.

Desde luego, esta evidencia no suple obtener información adicional -pública, en bases de datos de integridad, etc- ni el desarrollo de algunas comprobaciones directas por parte de las organizaciones, especialmente en escenarios de riesgo alto por motivo de la contraparte y/u operación pretendida. Pero, fuera de estos supuestos, reduce el tiempo que se está empleando en tareas tediosas y permite centrar a la función de Compliance en actividades de mayor valor añadido.

En la actualidad, las organizaciones que pueden demostrar la alineación de sus sistemas de gestión de Compliance con los indicados estándares disfrutan de una ventaja competitiva, pues, en el tráfico mercantil, tal circunstancia se valora positivamente. Sin embargo, en breve no se comprenderá que una organización interesada en entablar relaciones de negocio sea incapaz de acreditar su diligencia en Compliance penal mediante la opinión de un tercero cualificado, especialmente cuando otras empresas concurrentes sí lo están haciendo. En ese contexto, no disponer de un modelo de compliance alineado con los estándares en dicha materia será, en breve, un factor de desventaja competitiva, difícil de revertir de manera inmediata. Esto ya está sucediendo en los mercados internacionales respecto del estándar ISO 37001, y comienza a suceder en el mercado español respecto de la Norma UNE 19601. Un dato: esta última Norma ha sido la más descargada en España tras la de calidad, ampliamente conocida y de exigencia común en la contratación mercantil.

En este nuevo contexto, conocer las diferentes posibilidades para que un tercero independiente valide un modelo de Compliance reviste capital importancia. Por eso, este mes publico el primer documento de la Serie “Compliance avanzado” abordando esta temática de tanta actualidad.

Boxeo, mariposas y distorsión retrospectiva

Por Andrés Morales
on 18. 12. 2017

“Todo el mundo tiene un plan hasta que recibe un puñetazo en la boca”. Esta frase del célebre boxeador americano Mike Tyson es una manera muy ilustrativa de subrayar la importancia de la gestión del riesgo.

El cuadrilátero, sin embargo, ha terminado por alcanzar una escala global. Las paredes de las fábricas son, hoy en día, una mera ilusión. La producción y la cadena de suministro se han transformado en una compleja telaraña que se extiende por todo el mundo. En este escenario, Asia se ha convertido en el  nodo más importante (pero no en el único) de esta red de interdependencias, descansando en sus economías de mano de obra barata y alta eficiencia y con China y los integrantes de la ASEAN (Asociación de Naciones del Sudeste Asiático) como protagonistas. En este contexto, cualquier evento, incluido un desencuentro entre líderes políticos en una cumbre asiática, puede acabar en un sobrecoste de abastecimiento para una compañía en Valladolid, Michigan o Hamburgo. Por ejemplo, en Agosto de 2015 se produjeron dos enormes explosiones en una bodega que almacenaba productos químicos en el puerto de Tianjin (China) que terminaron por afectar a 285 compañías del Fortune Global 500.

Una dificultad añadida es que esta inmensa y compleja red descentralizada no es estática, sino que evoluciona, creciendo y enmarañándose con velocidad variable. Nos encontramos en el momento más lento de la aceleración. Hasta hace tres o cuatros años, la manera más segura de aislar a cualquiera, de anular su capacidad de influir en el mundo, era subirle en un avión. Después, las aerolíneas comenzaron a ofrecer wifi on board, eliminando así toda oportunidad de desconexión.

La interdependencia superlativa y sus efectos no son un concepto novedoso. Ya lo avisaba el matemático y meteorólogo Edward Norton Lorenz a principios de los 70, cuando explicaba que el aleteo de una gaviota podía provocar un tornado en la otra punta del mundo. Más tarde, decidió cambiar la gaviota por una mariposa para darle un toque más poético. La formulación del “efecto mariposa” explica de manera muy ajustada el impacto provocado por un hecho aislado al otro lado del mundo.

Los riesgos que afectan a las cadenas de suministro de las compañías tienen por tanto dos dimensiones, aquellos que habitan dentro de los límites del poder de influencia de la compañía, llamémosles operativos, y que por tanto pueden mitigarse también dentro de esos mismos límites; y aquellos que sobrepasan todas las fronteras, llamémosles disruptivos, que tienen su origen en la enmarañada red de dependencias que caracteriza la producción internacional.

Los directores de las compañías han venido preocupándose, con mayor o menor intensidad, de los primeros. Sin embargo, duermen como bebés cuando el desafío que tienen delante consiste en que cualquier evento impredecible al otro lado de mundo, desde un tsunami hasta una fanfarronada política, puede acabar con sus compañías mucho más rápido que un retraso en una orden de pedido.

La impredecibilidad es un concepto interesante y que no suele gustar mucho. La mente humana, también la de los directivos de las compañías, tiene el vicio de pensar que el mundo es más explicable de lo que en realidad es, y por tanto más predecible. Este sesgo se ve alimentado por otro: a toro pasado, siempre encontramos una explicación a sucesos que realmente se han desarrollado de manera impredecible. Nuestra mente sólo recuerda aquello que tiene correlación positiva con el hecho en sí y olvida lo que le molesta a la hora de construir una explicación lógica. A esto se le llama distorsión retrospectiva.

Todo el que haya leído un poco sobre la Primera Guerra Mundial habrá percibido que la mayoría de los historiadores se muestran de acuerdo a la hora de explicar el estallido de la misma derivado de “tensiones crecientes” o “escalada de crisis”. El también historiador Niall Ferguson contradice estas hipótesis de predictibilidad estudiando el precio de los bonos imperiales en los momentos anteriores a la guerra y cómo en ningún momento se vieron afectados ante un conflicto bélico de tamaña importancia, no descontando así ninguna circunstancia negativa inminente. Hemos sido capaces de explicar de manera artificial un suceso impredecible, para ganar una tranquilidad igualmente artificial.

¿Pero cómo podemos luchar contra los riesgos que afectan a las cadenas de suministro?

No existe una respuesta sencilla para el caso de los riesgos disruptivos. No se puede eliminar la posibilidad de un tsunami, de un conflicto armado, o de la erupción de un volcán que cierre el espacio aéreo europeo, y por supuesto, en muchas ocasiones no se pueden predecir. En estos casos, construir resiliencia en las organizaciones es la clave del éxito, para conseguir una reacción efectiva, sin importar la causa de disrupción.

Pero así como los riesgos adquieren escala global, la respuesta a los mismos debe sobrepasar las fronteras de las compañía en un esfuerzo colaborativo para erigir cadenas de suministro resilientes a escala global. Ya no sirve estar en posesión de una gran cantidad de datos si el resto de la cadena no sigue el ejemplo, en su lugar se debe estimular la existencia de plataformas compartidas que permitan identificar antes las disrupciones y mejorar el tiempo de respuesta. Los gobiernos tienen mucho que decir en este nuevo enfoque colaborativo, desarrollando marcos, estándares y regulaciones a nivel mundial que faciliten la transparencia y la homogeneidad de la información.

La cultura de riesgo es también un factor fundamental. Su adopción por parte de la compañía, sin embargo, es insuficiente adquiriendo una dimensión esencial la manera en la que esa cultura es transmitida, exigida y medida en los proveedores de las compañías. Las cadenas siempre se rompen por el eslabón más débil, aunque sólo exista uno.

La otra forma de plantar cara a la disrupción es tratar de convencer a las mariposas de que dejen de aletear, pero se me antoja cruel y difícil.

 

Autor: Andrés Morales es Associate de Gobierno Corporativo, Riesgo y Cumplimiento (GRC) de KPMG en España.

El abrazo de Washoe

Por Alain Casanovas
on 15. 12. 2017

Washoe es el nombre que recibió una cría de chimpancé hembra capturada en el oeste de África a mediados de los años 60. Iba a formar parte de un proyecto relacionado con el programa espacial de la fuerza aérea norteamericana, pero terminó en manos de los psicólogos Allen y Beatrix Gardner, que iniciaron un experimento para instruirla en el lenguaje de signos y comunicarse con ella. Esta investigación arrojó resultados asombrosos que obligaron a la comunidad científica a replantearse la relación entre los humanos y los grandes simios.

Durante las celebraciones de Navidad es costumbre compartir buenos deseos y perdonar a quienes nos han causado daño. La capacidad de perdonar, la empatía o la benevolencia son algunas de las cualidades que se consideran intrínsecamente humanas. Pretender el bien del prójimo, es decir, ser benevolente (del latín benevolents) es, en algunos casos, una obligación profesional, como se deduce del juramento hipocrático que obliga a los médicos: “..me comprometo solemnemente a consagrar mi vida al servicio de la humanidad… aún bajo amenazas, no admitiré utilizar mis conocimientos médicos contra las leyes de la humanidad” (redacción de la Convención de Ginebra de 1948). En el contexto de los negocios, hay líneas de pensamiento que relacionan un liderazgo ético a querer el bien del otro y no simplemente usar de él, como señala el Profesor emérito de Ética empresarial en el IESE, Domènec Melé. Puesto que la acepción moderna del compliance lo vincula con compromisos de dimensión moral o ética, preocuparse por mejorar la integridad de las personas deviene un objetivo esencial, ya que actuar con propósitos distintos equivale a instrumentalizarlas, que es per se un comportamiento éticamente reprobable y, por lo tanto, contrario a compliance.

Los esposos Gardner enseñaron a Washoe en el lenguaje de signos, y aprendió a utilizar más de 350 palabras de manera combinada para articular mensajes. Fue el primer ser no humano en aprender este lenguaje. Cuando se le mostró su reflejo en un espejo y se le preguntó que veía, respondio: yo, Washoe.

Kat Beach fue una de las cuidadoras de Washoe. En el verano de 1982 quedó embarazada y cuando su vientre creció, Washoe mostró mucho interés en él, formando el signo “bebé”. Sabía lo que era ser madre: había sufrido dos abortos y mostrado síntomas de depresión tras esas experiencias traumáticas. Kat dejó de cuidar a Washoe durante un tiempo, debido a problemas en su embarazo que finalmente le provocaron la pérdida de su bebé. Cuando se incorporó de nuevo a las tareas de cuidado, sintió la necesidad de explicarle a Washoe qué había motivado su ausencia, y le transmitió por signos “mi bebe murió”.  Washoe quedó muy afectada mirando al suelo y tras un tiempo le respondió: “llorar”. Trazó entonces con sus dedos el recorrido que seguirían las lágrimas en el rostro de Kat. Los chimpancés no lloran, y se supone que ignoran a qué estado emocional va ligado el llanto.

Cuando percibimos que alguien se interesa verdaderamente por nosotros, sin más propósito que ese, su mensaje cala directamente en nuestros corazones con una fuerza formidable. A pesar de su gran efecto, en ocasiones nos sentimos ridículos queriendo el bien de los demás, y evitamos manifestar ese deseo salvo cuando acompaña el contexto, como sucede durante el periodo de las Navidades.

Aquel día Washoe no se separaba de Kat, hasta el extremo de impedirle marchar tras su horario laboral. Cuando otros compañeros lograron distanciarla, le transmitió por signos: “por favor, persona, abrazo”. Tras estar fuertemente abrazadas durante un tiempo, Kat se marchó sin la menor duda que Washoe comprendía lo que le había sucedido y compartía sinceramente su dolor.

Washoe murió el 30 de octubre de 2007 a los 42 años de edad, y su historia sigue conmoviendo a miles de personas alrededor del mundo.

Compliance y gobernanza

Por Alain Casanovas
on 11. 12. 2017

El pasado mes de noviembre tuvieron en lugar en Shenzhen, China, unas interesantes sesiones de trabajo de ISO en las que se avanzó en uno de los proyectos más ambiciosos de la organización: sigue adelante una iniciativa previamente debatida en Londres y Quebec, destinada a coordinar una serie de materias vinculadas con la gobernanza de las organizaciones, incluido el compliance.

Todo profesional dedicado al compliance conoce bien que una cultura ética y de respeto a las normas precisa del compromiso de los administradores y del equipo directivo. Cuando existen déficits a ese nivel, difícilmente se pueden corregir por los equipos de compliance, dependientes en última instancia de sus órganos de gobierno. Solamente cuando el nombramiento del compliance officer procede de las autoridades (judiciales, administrativas en materia de competencia, etc) y reporta a ellas, su capacidad de influencia se incrementa. Sin llegar a estos extremos y para potenciar su rol en la transformación de las organizaciones, una línea de pensamiento aboga por convertir al Compliance Officer en un contrapoder de las máximas instancias ejecutivas de la organización, con potestad legal de vetar decisiones dañinas. Pero esta opción mutaría la naturaleza de la función de compliance (supervisión), involucrándola directamente en decisiones de negocio. De momento, es una posibilidad remota además de innecesaria ante un adecuado desarrollo de la figura del consejero coordinador independiente (lead independent director).

En cualquier caso, tratar de impulsar los cometidos de compliance en organizaciones lideradas por personas sin compromiso real con la ética y el cumplimiento de las normas constituye una iniciativa estéril. En este sentido, diferentes iniciativas han concluido que los cometidos de compliance no pueden prosperar si no es dentro de un marco de gobernanza apropiado en las organizaciones.

Desde luego, la gobernanza de las organizaciones no es en absoluto una materia nueva, pues plataformas prestigiosas como la OCDE llevan décadas identificando buenas prácticas relacionadas con ella, algunas de las cuales han terminado incorporándose en los ordenamientos jurídicos. Sin embargo, en la comunidad internacional continúan existiendo interpretaciones muy diferentes sobre qué es una buena gobernanza, circunstancia que dificulta definir prácticas concretas generalmente aceptadas por la comunidad internacional y establecer un lenguaje común homogéneo en esta materia.

El Instituto Alemán de Auditores Públicos (IDW – Institut der Wirtschaftsprüfer) publicó en 2011 el primer estándar para auditar sistemas de gestión de compliance, la célebre norma PS 980. En lugar de actualizar su contenido, entendió que iba a ser mucho más efectivo contribuir a fortalecer el marco de gobernanza de las organizaciones, añadiendo los nuevos estándares PS 981 para auditar sistemas de gestión de riesgo, y PS 982 para auditar sistemas de control interno. Esta trilogía conforma el marco que permite auditar sistemas de gestión de gobierno corporativo, bajo el entendimiento de que unos adecuados mecanismos en esos ámbitos sinérgicos (compliance, risk management & internal control) contribuyen a la correcta gestión de la gobernanza en la organización.

El enfoque de ISO es distinto. También consciente de las limitaciones de los sistemas de gestión de compliance (actualmente ISO 19600 e ISO 37001), opta por enmarcarlos bajo la cobertura común de unas directrices de gobernanza que les permitan operar correctamente. La dificultad de esta iniciativa de ISO radica en obtener el nivel de consenso internacional suficiente acerca del propio concepto de gobernanza y sus aspectos clave. Siendo una materia que hacer correr ríos de tinta y donde no existe consenso generalizado, se intuye una meta ambiciosa, especialmente cuando aparece vinculada con la Ética, que admite diferentes interpretaciones según prismas culturales. Pero es precisamente la dificultad de este proyecto lo que lo convierte en una iniciativa fascinante, llamada a determinar las buenas prácticas de gobernanza del siglo XXI.

Por el momento disponemos de estándares y procedimientos que ayudan a verificar sistemas de gestión de Compliance, como explico en el último video de la Serie Compliance Basics, que nos permiten avanzar en una gestión responsable de las organizaciones. [Video número 12]. Estas verificaciones, aunque no entran en materias propias de la gobernanza de las organizaciones, sí permiten contrastar si los cometidos de compliance se están desarrollando correctamente.