KPMG Blogs

open

Category Archives: Sin categoría

El primer objetivo ya se ha cumplido, ahora quedan muchos otros

Por José Luis Blasco
on 10. 10. 2017

Hace unas semana tuvo lugar en Nueva York la Asamblea General de las Naciones Unidas con el propósito de revisar la agenda global y los progresos realizados en los Objetivos de Desarrollo Sostenible.

Hace dos años, en este mismo lugar, 193 países firmaron lo que se quería que fuera el plan estratégico del planeta para los próximos quince años. Pese al corto periodo de tiempo transcurrido, podríamos decir ya han logrado su primer éxito. Uno que, aunque no se encontraba en la lista, era quizá el más importante: convertirse en la referencia capaz de alinear a diferentes países y actores de la agenda global en torno a un set común de temas, objetivos y métricas. Es, claramente, la agenda de esta generación. “El GPS que necesitábamos para guiar los esfuerzos globales”, como comentaba en una de las sesiones el secretario general de la OCDE, Angel Gurría.

Según este organismo, se calcula que para activar las 169 metas que contienen los Objetivos de Desarrollo Sostenible (ODS) se precisan entre 5 y 7 billones de dólares, lo que significaría unos 2,5 billones adicionales de inversión para los países en vías de desarrollo. Sin embargo, la inversión oficial al desarrollo, aun llegando a máximos en 2016, se calcula tiene su techo entre los 150-200.000 millones, una cantidad considerablemente menor a las necesidades.

En las reuniones de mediados de septiembre en el emblemático edificio de las Naciones Unidas en Nueva York  quedó ya patente que existe el consenso sobre que los tiempos de la “financiación” tradicional de proyectos tienen los días contados y hay que dar paso a nuevas formas de “inversión”.

Un reciente informe de la Business & Sustainable Development Commission estima que los Objetivos de Desarrollo Sostenible crearán oportunidades por valor de 12 billones de dólares en agricultura y procesamiento de alimentos, ciudades, energía, materiales y salud. Esta inversión activaría 380 millones de nuevos empleos en 2030 en todo el mundo.

Para atender estas oportunidades, además de los contratos de colaboración público-privada (PPPs) en sus diferentes variantes, comienzan a desarrollarse nuevos instrumentos de inversión denominados blended. Se trata de una estrategia innovadora para movilizar conjuntamente recursos del sector público, del privado y de organizaciones sin ánimo de lucro con el objetivo de producir un impacto positivo de mayor magnitud. Las nuevas fórmulas van desde la toma de deuda junior o subordinada, la titulización de la inversión, hasta rentabilidad en base a resultados o la aportación de asistencia técnica como parte de la inversión. Estas novedosas estructuras de financiación de proyectos de desarrollo están multiplicando entre cinco y veinte veces la participación de fondos privados. Con la Comisión Europea y el Banco Mundial a través de la International Finance Corporation a la cabeza, se han impulsan medio centenar de proyectos de este tipo.

Aunque presente y apoyada en los discursos que hemos escuchado en la Asamblea General de la ONU, estas innovaciones en la financiación no son acogidas con tanto entusiasmo en los pasillos. Los funcionarios de las agencias de Naciones Unidas y las ONGs se muestran renuentes a la transformación que viene. Además de algunas reticencias connaturales del sector público a la participación de entidades privadas en la implementación de políticas públicas, temen que el cambio en el enfoque impacte en la formulación de los proyectos, la necesidad de un mayor escrutinio y de contar con mejores métricas para medir el impacto, los retornos, etc. Lo normal, cuando se incluyen organizaciones que se juegan su dinero.

La cabeza del león de estos proyectos de inversión se prevé se concentre en los sectores de infraestructuras de transporte, agua y saneamiento, así como de energía. Una oportunidad relevante para compañías capaces de articular consorcios con niveles de riesgo bajos, aceptables para los fondos de infraestructuras, de pensiones, pero también para nuevos agentes interesados en estas fórmulas como son las agencias de desarrollo o las grandes instituciones filantrópicas.

Si, como todo apunta, estos objetivos servirán de faro para aunar esfuerzos para mejorar, plantear desde el comienzo del debate la búsqueda de fórmulas creativas para movilizar los recursos necesarios es, sin duda, una aproximación valiente y realista.

La ambición de las metas y la recompensa prometida exigirán la mejor versión de esta generación.

 

Sesgo retrospectivo en compliance

Por Alain Casanovas
on 03. 10. 2017

Poco antes de las 8 horas se perdió la comunicación con el transbordador espacial Columbia, en su secuencia de entrada a la atmósfera terrestre. Era el 1 de febrero de 20003 y se confirmaba la desintegración de la nave y el fallecimiento de sus siete tripulantes. A partir de aquel  momento se suspendieron los lanzamientos de transbordadores hasta dar con la causa del desastre, que resultó deberse a un problema relativamente sencillo de evitar. Una vez materializados los incidentes, llueven críticas por no haber dispuesto los medios para su prevención que, en muchos casos, no entrañan complejidad alguna. Es el sesgo retrospectivo de las personas, que nos hace considerar como obvias cuestiones que en su momento no lo eran. Todo un clásico en los incidentes de Compliance.

Resultó que a los 81 segundos de su lanzamiento, la parte inferior de una de las alas del transbordador recibió el golpe de un pedazo de espuma de poliuretano que recubría el tanque externo de combustible. El impacto no se percibió por la tripulación y Control de misiones restó importancia al incidente, que también se había detectado en misiones anteriores.

Algunos procedimientos de control, como el visionado de la secuencia de lanzamiento por el equipo de supervisión, están sujetos a errores de apreciación humanos. De hecho, nuestras actividades se desenvuelven en el contexto de los problemas realistas, donde inciden tal cantidad de variables que sólo el cerebro humano las puede procesar y extraer rápidamente una conclusión aparentemente acorde con las circunstancias: sucede cuando dosificamos la presión sobre el pedal de freno de nuestro vehículo ante una situación de riesgo, procesando a velocidad de vértigo muchísima información: la distancia, estado del piso, situación del tráfico, consecuencias previsibles de nuestra maniobra, etc. Pero las estimaciones que nos brinda nuestro cerebro son falibles y en ocasiones nos equivocamos. Por eso, desde hace años se desterró el principio de seguridad absoluta en ámbito de la gestión de riesgos, pues muchos  controles dependen finalmente de nuestro juicio, expuesto al error especialmente en contextos de estrés.

Como podemos imaginar, la gestión desarrollada por Control de misiones fue muy cuestionada, especialmente porque el problema que causó la pérdida de siete vidas se había identificado en misiones anteriores. La socióloga Diane Vaughan habla del sesgo “normalización de la desviación”, que se produce cuando una irregularidad se reitera sin mayores consecuencias, pasando entonces a formar parte de la normalidad y escapando del entorno de control. En Compliance, las irregularidades deben ser analizadas y evitar que se consoliden, aunque no desencadenen consecuencias negativas inmediatas.

Con esos antecedentes, bastantes analistas y periodistas consideraron que el incidente que sufrió el transbordador era predecible y fácilmente evitable. El sesgo retrospectivo lleva a percibir eventos pasados como predecibles e incluso modifica nuestros recuerdos para hacernos creer que siempre mantuvimos ese pronóstico: “yo ya lo dije”. En los incidentes de Compliance es difícil evitar la concurrencia de tal sesgo, que puede afectar a las autoridades administrativas y judiciales frente a un resultado aparentemente previsible. Valorar la idoneidad de las los controles y las decisiones exige retrotraerse al momento en que se adoptaron, haciendo abstracción de hechos posteriores. Tal vez una mala decisión fuera la correcta en el contexto donde se adoptó. Desde luego, el Equipo de Gestión de la Misión (MMT) defendió que las razones para abortar la misión eran pésimas entonces, pues nadie podía prever las consecuencias catastróficas del impacto de un simple pedazo de poliuretano en una nave valorada en más de 2.000 millones de euros en el año 2003.

Las personas estamos condicionadas por el conocimiento adquirido después de un evento, circunstancia que incide indefectiblemente en nuestra estimación posterior de probabilidad de que sucediera. Lamentablemente, algunas evaluaciones de riesgos de Compliance sufren las consecuencias de este sesgo, cuando, materializado un incidente, nadie comprende cómo no se previó. Este efecto se conoce como “falacia del historiador”, mencionada por primera vez por David Hackett Fischer, que sucede al dar por supuesto que quienes adoptaron una decisión podían considerar informaciones o puntos de vista posteriores a la misma.

No sólo las evaluaciones de riesgos están expuestas al sesgo retrospectivo, sino muchas otras valoraciones en el ámbito del Compliance, incluyendo la contratación o promoción de personal o la formalización y mantenimiento de relaciones con terceros. Son contextos en los que también se puede criticar qué la organización mantuviera vínculos con personas que han observado después conductas claramente contrarias a sus valores. Los indicadores de perfil de riesgo (Risk Metrics) que comento en el vídeo número 10 de la Serie Compliance Basics, permiten capturar y considerar datos objetivos que facilitan identificar relaciones de riesgo y adoptar a tiempo las medidas mitigantes oportunas. Reducen la exposición a comportamientos nocivos y ayudan a explicar los motivos de nuestras decisiones, en caso de que se precise analizarlas retrospectivamente.

Lecciones aprendidas de la resolución bancaria

Por Francisco Uría
on 27. 09. 2017

El pasado julio la presidenta de la Junta Única de Resolución realizó su comparecencia anual en el Parlamento Europeo para presentar su informe sobre la actividad realizada el pasado 2016. Habiéndose producido pocos días antes la resolución del Banco Popular, aprovechó para realizar algunas reflexiones a propósito de la misma. También se han producido declaraciones públicas de la presidenta del Consejo de Supervisión del BCE y otros representantes del mismo. El hilo conductor de todas estas intervenciones alude a la singularidad de un caso en que la resolución estuvo provocada, en última instancia, por una situación grave de falta de liquidez.

Los problemas de liquidez de una entidad de crédito se caracterizan por manifestarse y producir sus efectos con mucha más velocidad que los de solvencia, obligando así a las autoridades a adaptar sus decisiones en plazos mucho más breves. De hecho, y por lo que se ha ido conociendo, el Popular comunicó al BCE que su posición de liquidez le haría imposible cumplir con sus obligaciones de forma prácticamente inmediata, lo que obligó a las autoridades a adoptar sus decisiones e implementarlas en un plazo extraordinariamente reducido.

No pueden juzgarse esas decisiones sin tener en cuenta el marco jurídico existente en ese momento, los instrumentos de que se disponía y partiendo de que el objetivo fundamental de la resolución es preservar la estabilidad del sistema financiero, por lo que el éxito o fracaso de la acción de resolución deben juzgarse a partir del hecho de que el Popular abrió sus oficinas a la mañana siguiente de su resolución con total normalidad, habiéndose resuelto gracias a su comprador (Santander) sus problemas de liquidez, y quedando protegidos los derechos de los depositantes.

Lo sucedido ha suscitado la reflexión sobre si cabrían modificaciones normativas que pudieran mejorar o completar los instrumentos disponibles para enfrentarse a situaciones graves de falta de liquidez.

En este sentido, se abren dos vías. En primer lugar, una previa a la resolución, que sería la existencia de un auténtico prestamista de última instancia que pudiera realizar un apoyo puntual de liquidez más allá de la posibilidad que ofrece el mecanismo actual dependiente de la aportación de un colateral de calidad. En segundo término, la señora Elke König se refirió a la posible existencia de instrumentos jurídicos que pudieran proporcionar algo más de tiempo a las autoridades de resolución para adoptar e implementar sus decisiones respecto a la entidad en dificultades y, entre ellas, hizo referencia a una posible moratoria en los pagos.

Lo ocurrido debe servirnos para reflexionar acerca de los instrumentos de que disponen las autoridades de supervisión y resolución y completarlos para mejorar su efectividad incluso en situaciones difíciles y sobrevenidas de falta de liquidez, de tratamiento siempre complejo. Todo ello, sin menoscabo de los derechos de los accionistas minoritarios, cuya respuesta se deberá dilucidar ahora en los tribunales

Gestores XL, empresas XXL

Por Ramón Pueyo
on 14. 08. 2017

El 79% de los directivos creen ser mejores que la media. Lo contaba, hace algunos años, Harvard Business Review. Este desproporcionado optimismo, también llamado ilusión de superioridad o efecto mejor-que-la-media, no es patrimonio exclusivo de los gestores. Lo comparten profesores de universidad, empleados de multinacionales o conductores suecos. El artículo no decía nada de los gestores españoles. Pero quizá nuestros datos de tamaño y productividad rebajen su optimismo. Como es sabido, la población de empresas españolas está sesgada hacia las de menor tamaño. Por ejemplo, las británicas y alemanas multiplican por dos el de las españolas. Esto no es baladí; el tamaño está relacionado, entre otros, con la productividad, la capacidad de innovar o la retribución media. Por eso, el actual debate acerca de la mejora salarial debe acompañarse de uno sobre el tamaño de nuestras compañías. Cuando hablamos de empresas, lo pequeño es hermoso, pero lo grande es próspero, forma más y paga mejor.

Las explicaciones acerca del tamaño de las compañías españolas se refieren principalmente al entorno regulatorio e institucional, que podría desincentivar el crecimiento. En este sentido apuntan, sobre todo, las líneas de trabajo esbozadas en un reciente informe del Ministerio de Economía, Industria y Competitividad, titulado Informe sobre Crecimiento Empresarial.

Otra tesis cada vez más presente en el debate se refiere a la calidad de las prácticas de gestión de nuestras compañías de menor tamaño. Según esta, nuestros gestores hacen uso de técnicas de gestión avanzadas en menor medida que sus homólogos de otros países. Bajo este punto de vista, el menú de recetas para mejorar el tamaño debería contemplar también la mejora de las técnicas de gestión y del talento directivo.

Definir buena gestión no es sencillo. Es un terreno donde el feedback no es inmediato y abonado a la homeopatía y a las modas. Lawrence Freedman hacía referencia en Strategy (Oxford University Press, 2013) a un estudio que analizó si el uso de técnicas de gestión que se pusieron de moda tenía un impacto positivo sobre el desempeño empresarial. La respuesta fue negativa. Freedman también contaba que entre 1962 y 2008 se utilizaron 91 definiciones distintas de estrategia empresarial. No es sencillo, por lo tanto, identificar y señalar los elementos de la buena gestión. Pero es imprescindible si mejorarla es uno de los caminos hacia el aumento de tamaño de las compañías españolas. Afortunadamente, ya hay quien se ha tomado la molestia de hacer este trabajo.

El World Management Survey es una iniciativa impulsada por prestigiosos investigadores bajo el auspicio de universidades y escuelas de negocio de primer nivel. Trata de separar el grano de la paja y destilar, olvidando las modas, los elementos que constituyen la buena gestión empresarial. Su conclusión es que la esencia de la buena gestión se traduce en un número reducido de cuestiones concretas relativas a la monitorización del desempeño, al establecimiento de objetivos y a los incentivos definidos. Nada particularmente sofisticado. La pasada primavera, publicaron los resultados de aplicar su modelo al análisis de 32.000 centros productivos norteamericanos. Querían determinar la extensión en el uso de las técnicas de gestión identificadas y su impacto en el desempeño. Sus resultados son reveladores. Solo un 20% de la muestra analizada hacía uso de más del 75% de los parámetros de gestión analizados. También concluyeron que el uso de las técnicas del modelo estaba asociado a un dramático aumento de la productividad. Su conclusión es que la aplicación de las técnicas de gestión analizadas en los tres ámbitos descritos es el principal factor explicativo del éxito de las compañías o de su longevidad, entre otros. Por delante de otros factores explicativos tradicionalmente utilizados, como la inversión en I+D o las competencias o capacidades de los empleados, entre otros.

Quizá, y dada la creciente importancia del tamaño de nuestras compañías en la agenda económica, y a la luz de los hallazgos del World Management Survey, convendría entender el estado de la cuestión y poner el foco en las técnicas de gestión de las empresas españolas de menor tamañoY persuadir a nuestros gestores de que la gestión tiene una parte de arte pero otra de ciencia. Y que no todas las técnicas son moda.

Autor: Ramón Pueyo es socio de Governance, Risk and Compliance de KPMG en España

Normas y sentimientos

Por Alain Casanovas
on 07. 08. 2017

Todos hemos escuchado relatos sobre personas que desobedecieron normas porque algo en su interior les obligaba a hacerlo, aunque asumieran con ello un grave riesgo. El caso del empresario Oskar Schindler y los seres humanos que salvó de una muerte atroz en campos de concentración es un caso muy conocido, pero la vida está llena de pequeños ejemplos que no llegan a difundirse. Al hablar de conducta moral, las emociones triunfan sobre las reglas. Por eso, nos cuesta transigir ante determinados comportamientos, aun cuando son legales.

Atravesamos actualmente por la tercera etapa en la curva de madurez del compliance: la primera lo equiparaba al cumplimiento de determinada regulación específica, la segunda lo extendió a otras normas igualmente exigibles -además de las correspondientes al sector de actividad o mercado- y, finalmente, la tercera abarca también las obligaciones asumidas voluntariamente, normalmente mediante Códigos Éticos y textos análogos. Esta visión moderna introduce en la órbita del compliance deberes que trascienden de la legalidad y con los cuales las organizaciones se comprometen públicamente. Por ello, son parte natural del alcance de los sistemas de gestión de compliance modernos, como reconoce el estándar ISO 19600 sobre Compliance Management Systems (CMS).

El investigador holandés Frans de Waal señala que, a partir de los dos años de edad, los niños distinguen entre principios morales (“no robar”) y normas culturales (“no ir a la escuela en pijama”). Llega a la conclusión de que los primeros están profundamente arraigados en los seres humanos, hasta el punto de provocar fuertes inhibiciones cuando las normas fuerzan a vulnerarlos. Es más, esa misma reacción se observa otros muchos seres vivos.

En 1959 el psicólogo norteamericano Russell Church publicó un estudio científico realizado con ratas, en virtud del cual cuando una accionaba la palanca para obtener comida, otra situada en una jaula adyacente recibía una descarga eléctrica a través de una rejilla metálica en el suelo. Sorprendentemente, la primera rata dejó de accionar la palanca cuando constató el dolor que infligía a un congénere, prefiriendo quedarse sin comida. En aquella época, el experimento llegó a repetirse con primates, obteniendo resultados sobrecogedores: un ejemplar evitó comer durante 12 días para no herir a otro. Los animales tienen también líneas rojas que les repugna traspasar.

Muchas legislaciones en el mundo, incluyendo la española, están influidas por el movimiento de codificación que inició Napoleón Bonaparte en 1804, y que contribuyó a separar el derecho de la moralidad. Por eso, es raro encontrar referencias a la moralidad en las normas afectadas por esta escuela. En nuestro Código penal no aparece ni una sola vez la palabra “ética”. De hecho, la mayor parte de normas son moralmente tan asépticas que se limitan a exponer las consecuencias de determinadas conductas (“el que mata a alguien va a la cárcel”), pero no las desaprueban explícitamente (“matar no es correcto”).

Esta disociación entre derecho y moral ha abonado la creencia de que toda conducta que se ciñe a la Ley es esencialmente correcta. Sin embargo, cuando en las noticias escuchamos a algunos sujetos pregonando a los cuatro vientos que acataron la Ley, dudamos si realmente obraron de manera moral o justa. En el fondo, sus proclamas nos huelen a excusa.

En el ámbito del compliance vemos cómo las normas convencionales están siendo sobrepasadas por principios superiores. En esta clave se comprende, por ejemplo, la Circular 1/2016 de la Fiscalía General del Estado cuando señala que los programas de compliance tienen por objeto “promover una verdadera cultura ética”. El Tribunal Supremo va más allá y, en su célebre Sentencia 154/2016, de 29 de febrero de 2016, subraya que una adecuada cultura ética empresarial “es un dato relevante a la hora de establecer la responsabilidad penal de la persona jurídica, independientemente incluso del cumplimiento estricto de los requisitos previstos en el Código Penal de cara a la existencia de la causa de exención de la responsabilidad…” Si recordamos que el Código Penal no cita ni una sola vez el término “ética”, comprenderemos el cambio drástico de mentalidad que avalan estas manifestaciones, y que nos sitúa en los albores de la cuarta etapa de madurez del compliance, donde el mandato de nuestros corazones parece imponerse al de nuestros cerebros.

El compromiso real de las organizaciones con una conducta ética tiene consecuencias trascendentales en su gestión, pues deberán poner cuidado en seleccionar cuidadosamente a las personas con las que se vinculan, tanto internamente (miembros de la organización) como externamente (socios de negocio). En este contexto, los procedimientos de diligencia debida sobre estos colectivos son ya indispensables en todo sistema de gestión de compliance, como explico en el video número 8 de la Serie Compliance Basics

Revisiones de compliance sobre ISO e UNE: tres sugerencias

Por Alain Casanovas
on 20. 07. 2017

El estándar internacional ISO 37001 sobre sistemas de gestión antisoborno se publicó en octubre de 2016, y el estándar nacional UNE 19601 sobre sistemas de gestión de compliance penal vio la luz en mayo de 2017.

Aun siendo estándares muy novedosos, ya se están ejecutando trabajos de evaluación de la conformidad respecto de sus requisitos.

Estos estándares de compliance permiten evaluar los sistemas de gestión atendiendo a sus requisitos, lo que favorece la homogeneidad de este tipo de revisiones. Como contrapartida, el margen de discrecionalidad del revisor es prácticamente nulo, pues debe ceñirse a contrastar la existencia y efectividad de tales requisitos, sin que pueda ignorarlos. Por lo tanto, un sistema de gestión de compliance que no satisfaga alguno de ellos difícilmente será certificable, por muchos esfuerzos de convencimiento que se viertan sobre el revisor independiente.

Ahora bien, existen algunas prácticas previas a la revisión que facilitan el desarrollo posterior de este tipo de trabajos.

La primera es asegurarse de que el modelo de compliance está alineado con las exigencias de la norma ISO y/o UNE, no dando por hecho que cumple con ellas. Pueden detectarse carencias significativas, dado que estos estándares articulan “sistemas de gestión” y no “programas”, tal como expliqué en un post anterior . Esto no significa que necesariamente deba cambiarse el modelo de compliance de la organización, pero tal vez sea preciso modificarlo o completarlo. Desarrollar este ejercicio interno de revisión evitará graves complicaciones posteriores.

En segundo lugar, debemos considerar que el revisor independiente aplicará el principio de escepticismo profesional y, por lo tanto, no validará el cumplimiento de los requisitos exigidos por los estándares si no están adecuadamente soportados. Es más, tanto el estándar ISO como el UNE establecen las características que debe reunir tal documentación, en términos de su creación, actualización y control. Es el concepto de “información documentada” sin la cual el revisor externo se verá imposibilitado para desarrollar su labor. Los estándares indicados señalan en su articulado los requisitos que deben figurar como información documentada. En particular, el estándar UNE 19601 recopila en su Anexo C la información documentada que viene exigida en diversos apartados de la norma, lo que resulta de gran utilidad para comprobar si realmente disponemos de ella. Por cierto, como el estándar UNE 19601 hereda una gran cantidad de contenidos del estándar ISO 37001, esa misma lista es también útil para formarnos una idea de la información documentada requerida en los sistemas de gestión antisoborno, lógicamente adaptada a ese contexto. No sólo deberemos asegurarnos de disponer de esta documentación, sino también de que reúne las cualidades para merecer el calificativo de información documentada. Hecho este trabajo, veremos que existe información documentada que representa los pilares fundamentales del sistema de gestión (como la Política de compliance penal, por ejemplo), mientras que otra parte constituye evidencia de su aplicación práctica (informes de compliance penal, las actividades de formación o la gestión de incumplimientos o irregularidades, por ejemplo). Ambos tipos de evidencias son necesarios para acreditar que el sistema de gestión de compliance no es una mera formalidad, sino que se aplica en la práctica. Por eso, un modelo bien descrito documentalmente pero no ejecutado no podrá ser objeto de certificación.

En tercer lugar, puesto que el sistema de gestión de compliance se proyecta sobre riesgos de esa naturaleza, deberá prestarse atención a su evaluación (riesgos de compliance penal, en el caso de UNE 19601, y de soborno, en el caso del estándar ISO 37001). Este ejercicio, que debe constar como información documentada, es trascendental ya que condiciona el enfoque del sistema de gestión en su conjunto. Una evaluación inadecuada de riesgos de compliance puede enfocar de manera errónea las prioridades en dicho ámbito. Por eso, un revisor independiente prestará especial atención a la solidez de este ejercicio. Ni la Norma UNE 19601 ni el estándar internacional ISO 37001 obligan a emplear una determinada metodología de evaluación de riesgos, aunque sí establecen algunas directrices esenciales (análisis de probabilidad e impacto de los riesgos) y fijan aspectos importantes que se deben derivar de él. Así, por ejemplo, la Norma UNE 19601 exige aplicar cautelas especiales ante personas especialmente expuestas al riesgo penal, y también sobre socios de negocio que presenten un riesgo penal mayor que bajo. Esto significa que el ejercicio de evaluación de riesgos debe ser también idóneo para identificar inequívocamente a estos colectivos. Una evaluación de riesgos de compliance poco robusta o incompleta se convertirá en un hándicap insalvable.

Visto lo anterior y desde una perspectiva práctica, es útil visualizar cómo se desarrollará el procedimiento de revisión, planificando el modo en que se explicará el sistema de gestión de compliance al revisor y se le facilitará la información documentada relativa a su diseño y nivel de implementación. Se trata de allanar su trabajo y evitar que se vea obligado a interpretar múltiples documentos organizativos sin ayuda, previniendo que incurra en errores de apreciación involuntarios.

ISO 19600 y sistemas de gestión de protección de datos

Por Alain Casanovas
on 04. 07. 2017

La entrada en vigor del Reglamento Europeo de Protección de Datos junto con el reciente impulso del anteproyecto de Ley Orgánica de protección de datos de carácter personal, ilustran un escenario lleno de nuevos requisitos que las organizaciones deben cumplir. Aunque vienen realizando esfuerzos de adaptación a este entorno, las organizaciones afrontan el reto de mantener ese nivel de cumplimiento de manera continuada, planteándose establecer sistemas de gestión que les ayuden a conseguirlo. Este interés ya se constató en el Reino Unido durante el año 2009, con ocasión de la publicación del estándar BS 10012 sobre requisitos de los sistemas de gestión para información personal. En la actualidad, otros países desvían la mirada a estándares de compliance más modernos e internacionales para ayudar a la gestión de este nuevo entorno, entrando en juego la Norma ISO 19600 sobre Compliance Management Systems (CMS).

La reciente regulación en materia de datos personales adopta una evidente aproximación basada en el riesgo, muy alineada con el enfoque que también siguen los estándares internacionales basados en la estructura de alto nivel de ISO/IEC. Además, el responsable del tratamiento de datos personales debe ser capaz de demostrar el correcto cumplimiento de sus obligaciones, lo que conlleva la trazabilidad documental de actividades, asignación de roles, responsables, criterios, etc., que son aspectos igualmente tratados en estos sistemas de gestión. Como sucede en otras áreas de compliance, la diligencia debida de las organizaciones y sus responsables se medirá según hayan organizado el cumplimiento de sus obligaciones en materia de datos personales. Y como en otros ámbitos también, avalará su conducta recurrir a prácticas reconocidas internacionalmente.

El estándar ISO 19600 contiene directrices para establecer sistemas de gestión de compliance en general. Una parte importante de sus contenidos se han trasladado a estándares sobre ámbitos específicos del compliance, como la Norma ISO 37001 sobre sistemas de gestión antisoborno, o la Norma UNE 19601 sobre sistemas de gestión de compliance penal. El nivel de aceptación internacional de sus contenidos es muy holgado, como se deduce de la próxima publicación del primer China National Standard sobre compliance, basado en la Norma ISO 19600. Siendo el texto sobre compliance por excelencia, ya se ha identificado como patrón para articular sistemas de gestión en el ámbito de la protección de datos personales. Es más, su contenido es también útil para desarrollar una evaluación de proximidad en relación con las buenas prácticas que recoge. En este sentido, recurrir al estándar ISO 19600 permite conocer hasta qué punto se están asumiendo requisitos de compliance (los de protección de datos, por ejemplo) conforme a prácticas de gestión generalmente aceptadas, brindando confort a la organización y sus responsables. De hecho, en otros ámbitos del compliance, este estándar internacional ya se ha considerado un criterio adecuado para que un auditor desarrolle encargos de aseguramiento (“assurance”) distintos de la auditoría o la revisión de la información financiera, empleando el International Standard on Assurance Engagements (ISAE) 3000, aprobado por el International Auditing and Assurance Standards Board (IAASB), por ejemplo.

Enmarcar el cumplimiento de los requisitos de la normativa sobre protección de datos personales dentro de un sistema de gestión reafirma el compromiso y diligencia de la organización con esta materia. Permite encajar debidamente actividades tan relevantes como la evaluación de los riesgos de compliance, según se describe en el video de la Serie Compliance Basics de este mes, y que tanta importancia tiene en el nuevo entorno sobre protección de datos personales.


Organizaciones en otros países ya han advertido estas ventajas y ponen los ojos en la norma internacional “decana” en el ámbito del compliance. Es una inversión segura.

El planeta primero

Por José Luis Blasco
on 14. 06. 2017

La decisión del Presidente Trump de abandonar el Acuerdo de París es una mala noticia, sin embargo, hay que decir que los Estados Unidos nunca ratificó propiamente el Acuerdo. Obama se adhirió mediante una orden ejecutiva presidencial, pero los compromisos de EE.UU. nunca llegaron a ser aprobados por el Senado.

El Acuerdo de París es un ejercicio que dista bastante de un Tratado internacional al uso. Diseñado por Laurent Fabius, es una obra maestra de la nueva diplomacia global multipolar, que incluye entre sus curiosidades, por ejemplo, que las partes se puedan comprometer a lo que deseen, y que estos compromisos puedan ser revocados hasta el momento mismo de la puesta en marcha del acuerdo en 2020.

Y podríamos pensar que con esta estructura se trata de un papel de escasa utilidad, pero no es así. Desde la firma de la primera Convención protegiendo el clima han pasado ya 25 años, y París ha significado el primer gran consenso para actuar en la misma dirección y con ambición creciente.

Mientras que la decisión del Presidente Trump crea incertidumbre sobre las actuaciones futuras del segundo mayor emisor de gases de efecto invernadero del mundo, la claridad en las declaraciones del presidente Xi Jinping han tranquilizado a los europeos – de la Unión -, a los británicos y a los canadienses, protagonistas todos ellos del peso del liderazgo de la diplomacia climática en los últimos años. Aunque se confía en declaraciones semejantes de los primeros ministros de India y Australia, estos países se consideran puntos débiles de la cadena de los grandes emisores y se espera con expectación su posición, que por su carácter errático, sería prudente situar a que se acabe el plazo en 2020.

Vivimos en un momento que no es fácil de entender y menos de predecir. Vemos a China defendiendo el libre comercio y los acuerdos de limitación de emisiones, mientras que el gobierno de los Estados Unidos deshace los lazos que le unen a las zonas de libre comercio, pretende levantar muros y no pagar su factura del calentamiento global.

Asistimos atónitos, un día antes del anuncio de Trump, a la Junta de accionistas de ExxonMobil en Dallas, donde Vanguard y Blackrock, inversores principales de la compañía impulsaron, con un 62,3% de voto, que la dirección de la compañía desarrolle e informe a la Junta de la estrategia para evitar los efectos de los gases de efecto invernadero. Hemos oído y leído estos días cómo prominentes compañías enviaron cartas a la Casa Blanca mostrando sus compromisos con el clima, o Estados de la Unión como California, se declaran “insumisos” ante la decisión.

Todos ellos, y en especial el sector empresarial, saben que con el cambio del clima va a haber ganadores y muchos perdedores. No por mirar a otro lado, el problema desaparece. Abandonar hoy la senda de la reducción de las emisiones de gases de efecto invernadero o eliminar las inversiones para la adaptación adecuada no tiene sentido desde el punto de vista ético, pero tampoco desde el económico.

Actuemos o no, el cambio del clima se está produciendo y, tras París, una gran mayoría ha tomado consciencia de la responsabilidad de esta generación para evitar que tenga efectos devastadores.

Las predicciones de los escenarios climáticos de la Agencia Española de Meteorología para 2050 – dentro de 33 años – podrían ser ya de 2 grados más en verano y 1,5 en invierno. Estas cantidades que parecen aparentemente pequeñas pueden tener ya un impacto muy significativo.

Hace unos meses el Financial Stability Board, todopoderoso vigilante global de la estabilidad del sistema financiero, encargaba a Michael Bloomberg – ex alcalde de Nueva York – que pusiera en marcha un grupo de trabajo que permitiera trasladar a la contabilidad de las empresas una medición adelantada, capaz de monitorizar el riesgo para el sistema económico mundial de los cambios en el clima.

Aunque el resultado de las elecciones en Estados Unidos supusieron un jarro de agua fría en los primeros días de la última cumbre del clima en Marrakech el pasado año, el mundo se había puesto en marcha un año antes en París. Las próximas elecciones están previstas unas semanas antes del vencimiento del plazo de entrada en vigor del Acuerdo de París en 2020. Seguramente el clima y el acuerdo serán motivos para el debate durante la campaña electoral en ese país. Esperemos que esta vez el lema que gane sea “el planeta primero”.

 

 

Autor: José Luis Blasco es socio responsable de Gobierno, Riesgo y Cumplimiento de KPMG en España y responsable para Europa, Oriente Medio y África de los servicios de Sostenibilidad de KPMG

Fuente: El Economista. Publicado el 14 de junio de 2017.

UNE 19601: sistema versus enfoque lineal

Por Alain Casanovas
on 06. 06. 2017

Finalizado el periodo de consulta anunciado en el Boletín Oficial del Estado del pasado día 2 de febrero, el 18 de mayo se publicó la Norma UNE 19601 sobre sistemas de gestión de compliance penal, llamada a establecer un lenguaje de entendimiento común en esta materia, alineado con lo establecido en los estándares internacionales modernos. Sin embargo, lo realmente trascendente de esta noticia ha pasado inadvertido: la migración de modelos lineales de compliance a los “sistemas de gestión”, circunstancia que implica un cambio drástico de mentalidad y enfoque.

Podríamos decir que un modelo lineal fija unos requisitos cuyo cumplimiento se interpreta adecuado para la consecución de determinada finalidad. De este modo, por ejemplo, cuando se señala que el modelo de prevención de delitos debe estar dotado de recursos económicos, se cumple con él asignándole un presupuesto. Pero un “sistema” trasciende esta inmediatez, pues es un conjunto interrelacionado de elementos que logran unidos ciertos objetivos que no pueden alcanzar aisladamente y, por eso, no deben analizarse aisladamente. En un sistema de gestión, la interacción entre los requisitos es lo que verdaderamente contribuye a lograr los objetivos del conjunto y les brinda sentido individual, como explicaré siguiendo el hilo del mismo ejemplo.

Una organización se da cuenta de que dispone de un sistema lineal cuando ejecuta determinados requisitos por disciplina y no por lógica sistémica, lo que lleva a formularse algunas reflexiones: ¿cuál debe ser el importe del presupuesto de compliance? La Norma UNE 19601 establece la necesidad de fijar objetivos de compliance penal, que pueden comenzar a nivel estratégico y descender luego al táctico: queremos mejorar la sensibilidad de compliance de manera especial en determinada región (estrategia) y para ello precisaremos incrementar las horas locales de formación, disponer de ayuda técnica y contratar a un responsable de zona (táctica). La fijación de objetivos de compliance penal, desencadena necesariamente una serie de consecuencias, entre las que figura disponer de recursos para llevarlos a la práctica. Por lo tanto, las partidas presupuestarias vendrán condicionadas por los objetivos de compliance pretendidos, que son cuantificables económicamente (especialmente los tácticos). Así, una organización dotada de un sistema de gestión de compliance penal no se sentirá insegura con su presupuesto de compliance penal, pues tendrá que estar alineado con los objetivos de compliance penal que se ha impuesto. Es más, bajo esta lógica sistémica, los objetivos de compliance determinarán también qué informaciones deben capturarse y medirse para valorar su grado de consecución, cómo y a quién se comunicarán, cómo se realizará su seguimiento e informará de su evolución a la alta dirección y órgano de gobierno, etc. Con este ejemplo vemos que un requisito de la Norma UNE afecta a otros muchos, siendo esa la filosofía subyacente en el estándar español, cuando no regula elementos aislados sino interrelacionados para lograr un conjunto armónico y eficaz.

Para quienes no están habituados a manejarse en sistemas de gestión, les llamará la atención la gran cantidad de referencias cruzadas en conceptos y materias en la Norma UNE, circunstancia que no obedece al desorden sino que es fruto de articular requisitos estrechamente vinculados los unos con los otros. Es un enfoque sustancialmente distinto a los modelos lineales, que listan sus componentes pero no profundizan en la relación que existe entre ellos, lo que en ocasiones conduce a no verles un sentido individual claro ni tampoco como conjunto.

Sucede lo mismo con la evaluación del riesgo penal, que se regula en el Capítulo 6 del estándar español, y que determina automáticamente una serie de medidas entre las que figuran las de diligencia debida sobre el “personal especialmente expuesto” citado en su Capítulo 7. Y así encontramos un sinfín de referencias cruzadas, incluso en un documento tan relevante como la propia Política de compliance penal también exigida en nuestro estándar. La Política de compliance es un pilar fundamental del sistema de gestión, pues dota de sentido a la práctica totalidad de componentes que se establecen para su consecución, como se explica en el video número 6 de la Serie Compliance Basics.

El cambio de mentalidad que supone migrar de los modelos lineales a los sistemas de gestión de compliance precisa cierto esfuerzo, abandonando la comodidad de implantar mecánicamente una serie de elementos para ejecutar luego un check-list que valide su existencia. Pero un enfoque lineal no garantiza la eficacia, y por eso ha sido rehusado en las conocidas normas ISO 19600 e ISO 37001 sobre compliance.

El cambio del que estoy hablando va a producir variaciones drásticas en los próximos meses, dado que las organizaciones que quieran adecuar sus modelos de prevención de delitos deberán plantearse qué interacciones precisan definir o reforzar para que realmente operen de forma integrada como un sistema de gestión, pues es un aspecto clave de eficacia al que, en adelante, prestará atención todo externo que evalúe la conformidad de su contenido respecto de la Norma UNE 19601.

‘Reg Tech’: ¿Un acuerdo entre supervisores y supervisados?

Por Francisco Uría
on 29. 05. 2017

La respuesta de los reguladores (globales, regionales y locales) a la crisis financiera global fue una reforma regulatoria que ha aumentado de forma extraordinaria los requerimientos de toda índole para las entidades de crédito. El ya famoso ‘tsunami’ regulatorio.

Aunque una parte de esa nueva regulación, como la elevación de los niveles de capital de las entidades, la mejora de su capacidad para absorber pérdidas y el establecimiento de los nuevos mecanismos y procedimientos para el tratamiento de crisis bancarias era seguramente imprescindible, el resultado agregado de la regulación, como todos los reguladores reconocen, puede haber producido efectos indeseados al tiempo que ha afectado a la rentabilidad de las entidades.

Las instituciones internacionales (Comité de Supervisión Bancaria de Basilea, Autoridad Bancaria Europea y Comisión Europea), así como algunas autoridades nacionales (Estados Unidos) han anunciado distintas iniciativas para analizar esos efectos y, en su caso, proponer las reformas que se consideren necesarias. Una de las reflexiones más interesantes –y originales– se ha producido en el Reino Unido en el que la Autoridad Financiera de Conducta (FCA) ha introducido el debate –y la posibilidad– del llamado ‘Reg Tech’, un asunto al que el Instituto Internacional de Finanzas (IIF) ya había prestado atención en una serie de documentos de gran interés.

El fenómeno ‘Reg Tech’ supone, en esencia, el aprovechamiento de las nuevas tecnologías para facilitar la implementación de la regulación y, sobre todo, el cumplimiento normativo de las entidades de modo que éstas pudieran beneficiarse de una minoración de los costes asociados a ese cumplimiento. Desde el punto de vista de la FCA se trataría de una posible ‘alianza’ entre los supervisores, las entidades reguladas y el nuevo mundo fintech de modo que podrían atemperarse los efectos y costes asociados a la nueva regulación y también, y no en menor medida, sus consecuencias potencialmente inhibitorias de la innovación, con posibles asimetrías entre entidades reguladas y no sujetas a regulación. Imaginado el concepto, “bautizado” con una denominación atractiva (algo en lo que los anglosajones son maestros) quedan por encontrar casos de usos que ratifiquen la efectiva existencia de una voluntad de avanzar.

Oportunidades

La utilización de la tecnología blockchain para la realización del onboarding del cliente y el cumplimiento de las obligaciones derivadas de la normativa de prevención del blanqueo de capitales, el aprovechamiento del big data para la construcción de modelos internos o las posibilidades que derivan de la inteligencia artificial son algunos de los ámbitos en que se anuncian las oportunidades más interesantes. Algunas de esas experiencias son ya una realidad en algunos países del mundo e, incluso, algunas de ellas han sido directamente auspiciadas por las autoridades.

No es difícil imaginar una situación en la que la mejora de la calidad de los datos en poder de los bancos y también de su capacidad de tratamiento puede facilitar el acceso a la información relevante por parte de los supervisores evitando los riesgos y los costes asociados al suministro de esa información (el exigente reporting regulatorio) y los requerimientos individuales de información.

Para ello, qué duda cabe, las entidades deberán realizar un gran esfuerzo de adaptación para prepararse para ese futuro previsible pero también, y no en menor medida, los supervisores deben mostrarse abiertos ante las nuevas posibilidades derivadas de la utilización de la tecnología.

Los supervisores internacionales (Banco Internacional de Pagos, Fondo Monetario Internacional, Comisión Europea, distintos reguladores de varios países) han abierto numerosos foros en los que se debatirán las consecuencias regulatorias derivadas de la aparición del fenómeno fintech y no cabe duda de que la cuestión ‘Reg Tech’ será igualmente analizada. Es el momento de que esa nueva alianza entre supervisores, entidades reguladas y el nuevo mundo fintech demuestre no ya su viabilidad, sino también su auténtico potencial para lograr un cumplimiento regulatorio más seguro y eficiente.

 

Autor: Francisco Uría es Socio principal de KPMG abogados y responsable del sector financiero

¿Cómo prevenir los ciberataques y su impacto?

Por Marc Martínez
on 13. 05. 2017

Durante el día de ayer se produjeron ciberataques masivos dirigidos a diversas empresas españolas, utilizando técnicas de Ransomware con el objetivo de interrumpir operaciones, bloquear equipos y solicitar una recompensa a cambio de deshacer el ataque. Según hemos podido observar, y por la información que manejamos, el ataque se produce a través del adjunto de un correo malicioso que afecta a los equipos de Windows que no tengan la última actualización de seguridad.

Un ataque de ransomware está basado en un programa informático malintencionado que bloquea, mediante técnicas de cifrado, el acceso a determinados datos o archivos de los sistemas o aplicaciones infectadas. Se usa para causar disrupción, tanto a empresas como a individuos, a quienes se les pide un rescate para que puedan volver a acceder a sus datos o aplicaciones.

Una vez sufrido un ataque de estas características, desde el equipo de ciberseguridad de KPMG recomendamos las siguientes medidas preventivas básicas: en primer lugar, informar a usuarios sobre este ataque, recordando como mínimo que “NO se debe pinchar con el ratón sobre ningún enlace”, que “NO se debe ejecutar o abrir documentos adjuntos en un correo sospechoso” y/o “notificar al equipo de ciberseguridad cualquier sospecha”. En segundo lugar, asegurarse de que las medidas de control de emails están efectivamente funcionando, por ejemplo, escaneo de antivirus de emails y adjuntos. En tercer lugar, dirigirse a la página web del Centro Criptológico Nacional (www.ccn-cert.cni.es) para consultar información sobre otras medidas técnicas. Finalmente, y una vez los equipos se han visto comprometidos, tendremos que activar los planes de contingencia definidos para estos ataques.

Estos planes deben permitir la restitución de la información cifrada por el ransomware, lo cual se puede realizar bien a partir de las copias de seguridad de datos que se dispongan (es vital para las organizaciones contar con un plan de Copias de Seguridad y Recuperación de datos probado y ágil) o bien por la disponibilidad del descifrado del virus de ransomware. Esta solución solo es posible en aquellos casos en los que los proveedores de tecnologías de seguridad hayan podido realizar una ingeniería inversa del malware para poder neutralizarlo.

Asimismo, y una vez que se haya producido la infección y se conozca cuál es el ransomware y su mecanismo de infección y propagación, se pueden configurar los sistemas de protección de la red (como los firewalls) para detectar el virus y detenerlo antes de que infecte al resto de activos de la red. Si la red aún no ha sido infectada, este procedimiento es el que nos garantizará la prevención de que se reproduzca la infección, junto con otras buenas prácticas como el mantenimiento actualizado a la última versión de todos los parches de seguridad que los fabricantes publican de sistemas operativos, de todos los sistemas antivirus, y también de los sistemas perimetrales y de análisis de la red de la organización.

 

Autor: Marc Martínez es socio responsable de servicios de Ciberseguridad de KPMG en España.

Fuente: Cinco Días. Publicado el 13 de mayo de 2017

Procesos de creación de confianza en compliance

Por Alain Casanovas
on 03. 05. 2017

Los profesionales que desarrollan cometidos de compliance en las empresas vienen dedicando una parte cada vez mayor de su tiempo a algunas tareas que, aun siendo necesarias, son tremendamente repetitivas y restan tiempo a otros cometidos de mayor criticidad. El hecho de que cada vez más organizaciones exijan a terceros la sumisión a sus códigos éticos o de conducta obliga a analizarlos y compararlos con los propios, viendo sus diferencias para determinar las acciones a adoptar. Igualmente, se reciben y se emiten una creciente cantidad de cuestionarios de compliance, destinados a escrutar el entorno de control de la contraparte y adoptar las cautelas que se consideren adecuadas. Una buena parte del tiempo del compliance officer discurre en estas tareas, vinculadas con la diligencia debida de la organización en la selección y contratación con terceros.

En los últimos meses se han producido novedades importantes que facilitarán los procedimientos de diligencia debida y los dotarán de homogeneidad tanto a nivel nacional como internacional. Al estándar ISO 37001 sobre sistemas de gestión antisoborno, que se publicó en octubre de 2016 y se ha traducido recientemente al español internacional, se suma ahora el esperado estándar UNE 19601 sobre sistemas de gestión de compliance penal que, tras someterse a información pública en el BOE del pasado 2 de febrero, estará disponible el próximo 18 de mayo, según anunció la Asociación Española de Normalización UNE en un reciente acto de presentación. Puesto que ambos estándares son certificables, están llamados a convertirse en moneda de cambio común en las transacciones. En lugar de indagar sobre el entorno de compliance ajeno, es más sencillo y efectivo solicitar la evidencia de un tercero independiente sobre el particular, sobre la base de un marco de referencia generalmente aceptado como son las norma ISO y UNE. Así se fundamentan los llamados “procesos de creación de confianza” (“confidence building processes”), de modo que un auditor externo, experto en sus cometidos, refuerza con su opinión los procedimientos de diligencia debida de la organizaciones y contribuye a generar confianza en el mercado. Solicitar que las contrapartes exhiban esa evidencia ahorrará los análisis que ahora mismo desarrollan muchas organizaciones y otorgará a esta labor una mayor independencia. En los próximos días se debatirá sobre ello en el seno del II Congreso Internacional de Compliance que se celebra en Madrid, y donde acuden expertos que han representado a varios países en los procesos de normalización internacional que han alumbrado los estándares más modernos de compliance. Sobre estos cimientos se ha construido la Norma UNE, midiéndose en igualdad de condiciones con las buenas prácticas que se exigen a nivel internacional, que igualmente incorpora. Por ello, es también previsible que las organizaciones españolas que operan en los mercados internacionales utilicen la adaptación al estándar español, que viene a cubrir las necesidades de nuestro Código Penal, como trampolín para disponer seguidamente de un modelo antisoborno acorde con las expectativas de otros mercados. No olvidemos que la estructura y gran parte de los contenidos de la norma española son idénticos a los internacionales.

Este imparable proceso de homogenización facilitará un lenguaje de comunicación común en materia de prevención penal y del soborno, que incide inmediatamente en la forma de documentar los programas de compliance, como se explica en el video número 5 de la Serie Compliance Basics.

No obstante, puesto que los nuevos estándares son ciertamente exigentes, se prevé que coexistan con especificaciones particulares y programas no estandarizados que faciliten iniciar un proceso de mejora y aproximación a modelos alineados con la normalización oficial.

La generalización de patrones estandarizados de comparación, tanto a nivel nacional como internacional, permitirá que la función de compliance centre su atención en las relaciones de negocio de mayor riesgo, de modo que pueda profundizar en ellas e incluso realizar indagaciones de manera directa. Pero para ello es preciso liberarse antes de trabajos en buena parte rutinarios sobre la base de los procesos de fomento de la confianza.