KPMG Blogs

open

Category Archives: Sin categoría

Adiós al Compliance tedioso

Por Alain Casanovas
on 12. 01. 2018

Parte de los procedimientos de diligencia debida en Compliance consisten en la evaluación de las contrapartes de negocio. Cuando se trata de empresas, no es inhabitual que se analice su nivel de compromiso con la ética y la legalidad así como las medidas de control que han dispuesto a tales efectos. En ocasiones, estas tareas se canalizan mediante cuestionarios de compliance, que incluyen preguntas clave y solicitan evidencia documental de ciertos aspectos (Código Ético, Política antisoborno, etc). Cada vez más organizaciones desarrollan estos procedimientos –y también los sufren-, aunque es una actividad que disminuirá drásticamente en el corto plazo.

En el fondo, cuando se emplean cuestionarios de compliance para analizar respuestas y documentos, no sólo se invierte un volumen relevante de tiempo sino que incurre en algunos riesgos: dejar de interpelar sobre algunas cuestiones o errar en la valoración de las respuestas y documentos aportados abre la puerta a debatir una posible falta de diligencia. Desde luego, de un tiempo a esta parte no quedaba más opción que asumir ese coste y riesgo, pero la publicación de estándares internacionales abre un abanico de posibilidades que reducirán drásticamente estas desventajas. En octubre de 2016 se publicó el estándar internacional ISO 37001 sobre sistemas de gestión antisoborno, y en mayo de 2017 la Norma UNE 19601 sobre sistemas de gestión de compliance penal. Ambos textos se han emitido por entidades de normalización y reflejan un estado del arte generalmente aceptado en sus respectivas materias.

En las últimas semanas, hemos visto en la prensa económica noticias relacionadas con grandes organizaciones, principalmente del IBEX, anunciando la alineación de sus modelos de Compliance con los requisitos de la Norma UNE 19601, y seguiremos viendo comunicaciones en ese sentido durante los meses venideros. Este movimiento refleja el avance de grandes organizaciones hacia modelos de Compliance acordes con las buenas prácticas estandarizadas, pero también anticipa el esfuerzo que exigirán de sus socios de negocio. Puesto que terceros independientes pueden desarrollar evaluaciones de conformidad de modelos de Compliance basándose en lo establecido en dichos estándares, su opinión técnica evitará, en bastantes ocasiones, el empleo de cuestionarios y su posterior análisis por parte de las organizaciones. Por su parte, los potenciales socios de negocio que disfruten de tales opiniones generarán una mayor confianza en el mercado, ahorrando a sus contrapartes el tiempo y esfuerzos necesarios para evaluar directamente su modelo de Compliance.

Desde luego, esta evidencia no suple obtener información adicional -pública, en bases de datos de integridad, etc- ni el desarrollo de algunas comprobaciones directas por parte de las organizaciones, especialmente en escenarios de riesgo alto por motivo de la contraparte y/u operación pretendida. Pero, fuera de estos supuestos, reduce el tiempo que se está empleando en tareas tediosas y permite centrar a la función de Compliance en actividades de mayor valor añadido.

En la actualidad, las organizaciones que pueden demostrar la alineación de sus sistemas de gestión de Compliance con los indicados estándares disfrutan de una ventaja competitiva, pues, en el tráfico mercantil, tal circunstancia se valora positivamente. Sin embargo, en breve no se comprenderá que una organización interesada en entablar relaciones de negocio sea incapaz de acreditar su diligencia en Compliance penal mediante la opinión de un tercero cualificado, especialmente cuando otras empresas concurrentes sí lo están haciendo. En ese contexto, no disponer de un modelo de compliance alineado con los estándares en dicha materia será, en breve, un factor de desventaja competitiva, difícil de revertir de manera inmediata. Esto ya está sucediendo en los mercados internacionales respecto del estándar ISO 37001, y comienza a suceder en el mercado español respecto de la Norma UNE 19601. Un dato: esta última Norma ha sido la más descargada en España tras la de calidad, ampliamente conocida y de exigencia común en la contratación mercantil.

En este nuevo contexto, conocer las diferentes posibilidades para que un tercero independiente valide un modelo de Compliance reviste capital importancia. Por eso, este mes publico el primer documento de la Serie “Compliance avanzado” abordando esta temática de tanta actualidad.

Boxeo, mariposas y distorsión retrospectiva

Por Andrés Morales
on 18. 12. 2017

“Todo el mundo tiene un plan hasta que recibe un puñetazo en la boca”. Esta frase del célebre boxeador americano Mike Tyson es una manera muy ilustrativa de subrayar la importancia de la gestión del riesgo.

El cuadrilátero, sin embargo, ha terminado por alcanzar una escala global. Las paredes de las fábricas son, hoy en día, una mera ilusión. La producción y la cadena de suministro se han transformado en una compleja telaraña que se extiende por todo el mundo. En este escenario, Asia se ha convertido en el  nodo más importante (pero no en el único) de esta red de interdependencias, descansando en sus economías de mano de obra barata y alta eficiencia y con China y los integrantes de la ASEAN (Asociación de Naciones del Sudeste Asiático) como protagonistas. En este contexto, cualquier evento, incluido un desencuentro entre líderes políticos en una cumbre asiática, puede acabar en un sobrecoste de abastecimiento para una compañía en Valladolid, Michigan o Hamburgo. Por ejemplo, en Agosto de 2015 se produjeron dos enormes explosiones en una bodega que almacenaba productos químicos en el puerto de Tianjin (China) que terminaron por afectar a 285 compañías del Fortune Global 500.

Una dificultad añadida es que esta inmensa y compleja red descentralizada no es estática, sino que evoluciona, creciendo y enmarañándose con velocidad variable. Nos encontramos en el momento más lento de la aceleración. Hasta hace tres o cuatros años, la manera más segura de aislar a cualquiera, de anular su capacidad de influir en el mundo, era subirle en un avión. Después, las aerolíneas comenzaron a ofrecer wifi on board, eliminando así toda oportunidad de desconexión.

La interdependencia superlativa y sus efectos no son un concepto novedoso. Ya lo avisaba el matemático y meteorólogo Edward Norton Lorenz a principios de los 70, cuando explicaba que el aleteo de una gaviota podía provocar un tornado en la otra punta del mundo. Más tarde, decidió cambiar la gaviota por una mariposa para darle un toque más poético. La formulación del “efecto mariposa” explica de manera muy ajustada el impacto provocado por un hecho aislado al otro lado del mundo.

Los riesgos que afectan a las cadenas de suministro de las compañías tienen por tanto dos dimensiones, aquellos que habitan dentro de los límites del poder de influencia de la compañía, llamémosles operativos, y que por tanto pueden mitigarse también dentro de esos mismos límites; y aquellos que sobrepasan todas las fronteras, llamémosles disruptivos, que tienen su origen en la enmarañada red de dependencias que caracteriza la producción internacional.

Los directores de las compañías han venido preocupándose, con mayor o menor intensidad, de los primeros. Sin embargo, duermen como bebés cuando el desafío que tienen delante consiste en que cualquier evento impredecible al otro lado de mundo, desde un tsunami hasta una fanfarronada política, puede acabar con sus compañías mucho más rápido que un retraso en una orden de pedido.

La impredecibilidad es un concepto interesante y que no suele gustar mucho. La mente humana, también la de los directivos de las compañías, tiene el vicio de pensar que el mundo es más explicable de lo que en realidad es, y por tanto más predecible. Este sesgo se ve alimentado por otro: a toro pasado, siempre encontramos una explicación a sucesos que realmente se han desarrollado de manera impredecible. Nuestra mente sólo recuerda aquello que tiene correlación positiva con el hecho en sí y olvida lo que le molesta a la hora de construir una explicación lógica. A esto se le llama distorsión retrospectiva.

Todo el que haya leído un poco sobre la Primera Guerra Mundial habrá percibido que la mayoría de los historiadores se muestran de acuerdo a la hora de explicar el estallido de la misma derivado de “tensiones crecientes” o “escalada de crisis”. El también historiador Niall Ferguson contradice estas hipótesis de predictibilidad estudiando el precio de los bonos imperiales en los momentos anteriores a la guerra y cómo en ningún momento se vieron afectados ante un conflicto bélico de tamaña importancia, no descontando así ninguna circunstancia negativa inminente. Hemos sido capaces de explicar de manera artificial un suceso impredecible, para ganar una tranquilidad igualmente artificial.

¿Pero cómo podemos luchar contra los riesgos que afectan a las cadenas de suministro?

No existe una respuesta sencilla para el caso de los riesgos disruptivos. No se puede eliminar la posibilidad de un tsunami, de un conflicto armado, o de la erupción de un volcán que cierre el espacio aéreo europeo, y por supuesto, en muchas ocasiones no se pueden predecir. En estos casos, construir resiliencia en las organizaciones es la clave del éxito, para conseguir una reacción efectiva, sin importar la causa de disrupción.

Pero así como los riesgos adquieren escala global, la respuesta a los mismos debe sobrepasar las fronteras de las compañía en un esfuerzo colaborativo para erigir cadenas de suministro resilientes a escala global. Ya no sirve estar en posesión de una gran cantidad de datos si el resto de la cadena no sigue el ejemplo, en su lugar se debe estimular la existencia de plataformas compartidas que permitan identificar antes las disrupciones y mejorar el tiempo de respuesta. Los gobiernos tienen mucho que decir en este nuevo enfoque colaborativo, desarrollando marcos, estándares y regulaciones a nivel mundial que faciliten la transparencia y la homogeneidad de la información.

La cultura de riesgo es también un factor fundamental. Su adopción por parte de la compañía, sin embargo, es insuficiente adquiriendo una dimensión esencial la manera en la que esa cultura es transmitida, exigida y medida en los proveedores de las compañías. Las cadenas siempre se rompen por el eslabón más débil, aunque sólo exista uno.

La otra forma de plantar cara a la disrupción es tratar de convencer a las mariposas de que dejen de aletear, pero se me antoja cruel y difícil.

 

Autor: Andrés Morales es Associate de Gobierno Corporativo, Riesgo y Cumplimiento (GRC) de KPMG en España.

El abrazo de Washoe

Por Alain Casanovas
on 15. 12. 2017

Washoe es el nombre que recibió una cría de chimpancé hembra capturada en el oeste de África a mediados de los años 60. Iba a formar parte de un proyecto relacionado con el programa espacial de la fuerza aérea norteamericana, pero terminó en manos de los psicólogos Allen y Beatrix Gardner, que iniciaron un experimento para instruirla en el lenguaje de signos y comunicarse con ella. Esta investigación arrojó resultados asombrosos que obligaron a la comunidad científica a replantearse la relación entre los humanos y los grandes simios.

Durante las celebraciones de Navidad es costumbre compartir buenos deseos y perdonar a quienes nos han causado daño. La capacidad de perdonar, la empatía o la benevolencia son algunas de las cualidades que se consideran intrínsecamente humanas. Pretender el bien del prójimo, es decir, ser benevolente (del latín benevolents) es, en algunos casos, una obligación profesional, como se deduce del juramento hipocrático que obliga a los médicos: “..me comprometo solemnemente a consagrar mi vida al servicio de la humanidad… aún bajo amenazas, no admitiré utilizar mis conocimientos médicos contra las leyes de la humanidad” (redacción de la Convención de Ginebra de 1948). En el contexto de los negocios, hay líneas de pensamiento que relacionan un liderazgo ético a querer el bien del otro y no simplemente usar de él, como señala el Profesor emérito de Ética empresarial en el IESE, Domènec Melé. Puesto que la acepción moderna del compliance lo vincula con compromisos de dimensión moral o ética, preocuparse por mejorar la integridad de las personas deviene un objetivo esencial, ya que actuar con propósitos distintos equivale a instrumentalizarlas, que es per se un comportamiento éticamente reprobable y, por lo tanto, contrario a compliance.

Los esposos Gardner enseñaron a Washoe en el lenguaje de signos, y aprendió a utilizar más de 350 palabras de manera combinada para articular mensajes. Fue el primer ser no humano en aprender este lenguaje. Cuando se le mostró su reflejo en un espejo y se le preguntó que veía, respondio: yo, Washoe.

Kat Beach fue una de las cuidadoras de Washoe. En el verano de 1982 quedó embarazada y cuando su vientre creció, Washoe mostró mucho interés en él, formando el signo “bebé”. Sabía lo que era ser madre: había sufrido dos abortos y mostrado síntomas de depresión tras esas experiencias traumáticas. Kat dejó de cuidar a Washoe durante un tiempo, debido a problemas en su embarazo que finalmente le provocaron la pérdida de su bebé. Cuando se incorporó de nuevo a las tareas de cuidado, sintió la necesidad de explicarle a Washoe qué había motivado su ausencia, y le transmitió por signos “mi bebe murió”.  Washoe quedó muy afectada mirando al suelo y tras un tiempo le respondió: “llorar”. Trazó entonces con sus dedos el recorrido que seguirían las lágrimas en el rostro de Kat. Los chimpancés no lloran, y se supone que ignoran a qué estado emocional va ligado el llanto.

Cuando percibimos que alguien se interesa verdaderamente por nosotros, sin más propósito que ese, su mensaje cala directamente en nuestros corazones con una fuerza formidable. A pesar de su gran efecto, en ocasiones nos sentimos ridículos queriendo el bien de los demás, y evitamos manifestar ese deseo salvo cuando acompaña el contexto, como sucede durante el periodo de las Navidades.

Aquel día Washoe no se separaba de Kat, hasta el extremo de impedirle marchar tras su horario laboral. Cuando otros compañeros lograron distanciarla, le transmitió por signos: “por favor, persona, abrazo”. Tras estar fuertemente abrazadas durante un tiempo, Kat se marchó sin la menor duda que Washoe comprendía lo que le había sucedido y compartía sinceramente su dolor.

Washoe murió el 30 de octubre de 2007 a los 42 años de edad, y su historia sigue conmoviendo a miles de personas alrededor del mundo.

Compliance y gobernanza

Por Alain Casanovas
on 11. 12. 2017

El pasado mes de noviembre tuvieron en lugar en Shenzhen, China, unas interesantes sesiones de trabajo de ISO en las que se avanzó en uno de los proyectos más ambiciosos de la organización: sigue adelante una iniciativa previamente debatida en Londres y Quebec, destinada a coordinar una serie de materias vinculadas con la gobernanza de las organizaciones, incluido el compliance.

Todo profesional dedicado al compliance conoce bien que una cultura ética y de respeto a las normas precisa del compromiso de los administradores y del equipo directivo. Cuando existen déficits a ese nivel, difícilmente se pueden corregir por los equipos de compliance, dependientes en última instancia de sus órganos de gobierno. Solamente cuando el nombramiento del compliance officer procede de las autoridades (judiciales, administrativas en materia de competencia, etc) y reporta a ellas, su capacidad de influencia se incrementa. Sin llegar a estos extremos y para potenciar su rol en la transformación de las organizaciones, una línea de pensamiento aboga por convertir al Compliance Officer en un contrapoder de las máximas instancias ejecutivas de la organización, con potestad legal de vetar decisiones dañinas. Pero esta opción mutaría la naturaleza de la función de compliance (supervisión), involucrándola directamente en decisiones de negocio. De momento, es una posibilidad remota además de innecesaria ante un adecuado desarrollo de la figura del consejero coordinador independiente (lead independent director).

En cualquier caso, tratar de impulsar los cometidos de compliance en organizaciones lideradas por personas sin compromiso real con la ética y el cumplimiento de las normas constituye una iniciativa estéril. En este sentido, diferentes iniciativas han concluido que los cometidos de compliance no pueden prosperar si no es dentro de un marco de gobernanza apropiado en las organizaciones.

Desde luego, la gobernanza de las organizaciones no es en absoluto una materia nueva, pues plataformas prestigiosas como la OCDE llevan décadas identificando buenas prácticas relacionadas con ella, algunas de las cuales han terminado incorporándose en los ordenamientos jurídicos. Sin embargo, en la comunidad internacional continúan existiendo interpretaciones muy diferentes sobre qué es una buena gobernanza, circunstancia que dificulta definir prácticas concretas generalmente aceptadas por la comunidad internacional y establecer un lenguaje común homogéneo en esta materia.

El Instituto Alemán de Auditores Públicos (IDW – Institut der Wirtschaftsprüfer) publicó en 2011 el primer estándar para auditar sistemas de gestión de compliance, la célebre norma PS 980. En lugar de actualizar su contenido, entendió que iba a ser mucho más efectivo contribuir a fortalecer el marco de gobernanza de las organizaciones, añadiendo los nuevos estándares PS 981 para auditar sistemas de gestión de riesgo, y PS 982 para auditar sistemas de control interno. Esta trilogía conforma el marco que permite auditar sistemas de gestión de gobierno corporativo, bajo el entendimiento de que unos adecuados mecanismos en esos ámbitos sinérgicos (compliance, risk management & internal control) contribuyen a la correcta gestión de la gobernanza en la organización.

El enfoque de ISO es distinto. También consciente de las limitaciones de los sistemas de gestión de compliance (actualmente ISO 19600 e ISO 37001), opta por enmarcarlos bajo la cobertura común de unas directrices de gobernanza que les permitan operar correctamente. La dificultad de esta iniciativa de ISO radica en obtener el nivel de consenso internacional suficiente acerca del propio concepto de gobernanza y sus aspectos clave. Siendo una materia que hacer correr ríos de tinta y donde no existe consenso generalizado, se intuye una meta ambiciosa, especialmente cuando aparece vinculada con la Ética, que admite diferentes interpretaciones según prismas culturales. Pero es precisamente la dificultad de este proyecto lo que lo convierte en una iniciativa fascinante, llamada a determinar las buenas prácticas de gobernanza del siglo XXI.

Por el momento disponemos de estándares y procedimientos que ayudan a verificar sistemas de gestión de Compliance, como explico en el último video de la Serie Compliance Basics, que nos permiten avanzar en una gestión responsable de las organizaciones. [Video número 12]. Estas verificaciones, aunque no entran en materias propias de la gobernanza de las organizaciones, sí permiten contrastar si los cometidos de compliance se están desarrollando correctamente.

Sector financiero: balance provisional

Por Francisco Uría
on 29. 11. 2017

El año 2017, que poco a poco va acercándose a su final, ha resultado ser bastante más turbulento de lo que, a priori, hubiera podido suponerse.

Los bancos llegan a este momento habiendo realizado nuevas adquisiciones de entidades españolas y extranjeras (o de negocios en el extranjero) o completado procesos de integración acometidos con anterioridad.

Del mismo modo, el entorno sigue siendo de una exigencia máxima con la combinación de varios elementos. En primer lugar, los bajos tipos de interés, que siguen estrechando márgenes y presionando la rentabilidad de las entidades. Además, se produce una competencia feroz por los clientes, los negocios y las operaciones más rentables. En tercer lugar, destacaría el aumento de la presencia de nuevos jugadores (fintech y otros), que se asoman al mundo de los servicios financieros sin la carga que representan para los bancos su regulación y su legado. Además, están coincidiendo en el tiempo numerosos procesos de implementación de nuevas reglas, (entre las que destacan IFRS 9, MIFID II, PSD2 o RGPD) que tienen como nota común su elevado impacto en sistemas y procesos, junto con su afectación sobre relevantes líneas de negocio de las entidades y sobre su cuenta de resultados. Además, estas normas tienen una notable interrelación entre sí, influyendo en cuestiones tan estratégicas como el modo en el que los bancos van a almacenar, gestionar y, en última instancia, rentabilizar los datos de que disponen. Finalmente, habría que mencionar la necesidad de acometer cuantiosas inversiones para afrontar con éxito el doble reto de la transformación digital y de la mejora de la experiencia de los clientes, así como las incertidumbres derivadas de acontecimientos políticos y, muy en particular, de todo lo relacionado con la situación vivida en Cataluña, en camino de normalización.

Frente a esta situación, que sigue siendo compleja, los bancos continúan su camino de saneamiento y reestructuración: mejorando poco a poco su rentabilidad, fortaleciendo su capitalización, aumentando la calidad de su base de capital, avanzando tecnológicamente día a día y realizando acciones tanto individuales como sectoriales que les permiten posicionarse mejor ante la competencia de los nuevos jugadores. Entre todo esto, la actividad que se ha producido a lo largo del año en el área de pagos ha sido particularmente interesante.

Por otro lado, las entidades han desarrollado una actividad relevante en los mercados de capital, bien a través de ampliaciones de capital o de emisiones de los nuevos instrumentos requeridos por la regulación sobre resolución bancaria, a la espera de la determinación de los requerimientos individuales de MREL.

En esta misma línea de fortalecimiento del sector financiero español, cabría también referirse a la intensa actividad de desinversión de carteras y activos improductivos (los famosos “NPLs”), con operaciones muy relevantes en este año que han mejorado significativamente la solidez del balance de las entidades.

El Banco Central Europeo, acompañado por el Banco de España, continúa su trabajo supervisor, dedicando su atención a temas cada vez más variados, pero en los que el análisis del modelo de negocio y la rentabilidad de las entidades, la ciberseguridad o la presencia de NPLs en sus balances asumen cada vez un mayor protagonismo frente a cuestiones más tradicionales.

Por otra parte, y a la espera de la tramitación parlamentaria de la nueva ley sobre crédito inmobiliario, el año 2017 ha venido caracterizado, una vez más, por una intensa litigiosidad en torno a diversos productos bancarios y, muy particularmente, a propósito de varias cláusulas hipotecarias, un tema frente al que la situación y estrategia de los bancos ha sido muy dispar.

En el año 2017 hemos estrenado los nuevos mecanismos e instrumentos de la resolución bancaria. Este proceso ha dejado un rastro de litigiosidad que tardará en aclararse, a pesar de que tuvo éxito desde el estricto punto de vista de los fines de la resolución, al garantizar, en un plazo realmente breve, que la crisis de una entidad no produjera efectos sobre sus depositantes, ni sobre el conjunto del sector financiero español. También son relevantes en este ámbito las propuestas de toda índole que han surgido para completar el marco regulatorio de la resolución bancaria y, en particular, la capacidad de respuesta de las entidades frente a una crisis severa de liquidez.

El mapa bancario, por otra parte, se va aproximando a su configuración definitiva, por lo que, a la espera de la soñada (aunque no tan esperada, en las actuales circunstancias) consolidación europea, deja ya adivinar el paisaje resultante de la intensa transformación del sector.

El año 2017 va dejando, en resumen, un sector financiero más sólido y rentable, que mira ya al inicio de la normalización de la política monetaria del BCE con lo que ello implicará para su cuenta de resultados. La crisis va quedando definitivamente atrás.

 

 

Fuente: Expansión. Publicado el 29 de noviembre de 2017

El modelo empresarial del Cibercrimen

Por Alejandro Rivas-Vásquez
on 20. 11. 2017

Cuando pensamos en ciberdelincuentes, la primera imagen que se nos viene a la cabeza es la que habitualmente se utiliza para ilustrarlo: una persona con un suéter con capucha, al que no se ve el rostro y que trabaja sobre el ordenador en una sala totalmente en penumbra. Pero esa clásica imagen ya no tiene que ver nada con la realidad. Desgraciadamente, hace tiempo que el cibercrimen ha dejado de ser una actividad individual y, el hacker criminal, un individuo que, con profundos conocimientos informáticos y con diferentes motivaciones, se dedica a intentar burlar la seguridad de los sistemas de diferentes organizaciones.

Como se pudo ver en los recientes ataques de ransomware, WannaCry y NoPetya, dos malwares que corrieron como la pólvora infectando a cientos de miles de equipos y organizaciones públicas y privadas por todo el planeta, secuestrando datos y pidiendo un rescate económico para liberarlos, el crimen organizado ya no se rige por viejos modelos artesanales. Ha adoptado modelos empresariales de lo más sofisticados, con una planificación y ejecución que no deja nada al azar. Como apuntaba en este interesante artículo David Febrache, Director de Ciberseguridad de KPMG en Reino Unido, los cibercriminales actúan como consejeros delegados (CEOs), con una estrategia definida, un objetivo claro, la búsqueda de beneficios, y con unos recursos (herramientas y habilidades) que, si carecen de ellos, simplemente van y los adquieren en el mercado negro, en las oscuras profundidades de la Dark Web.

Y diría más, el cibercrimen cuenta con sus propios sistemas de Investigación y Desarrollo (I+D) para seguir innovando y mantener su negocio vivo. Ha creado sus propios ecosistemas empresariales, con marketplaces, donde se encuentran comentarios sobre el trabajo de los ciberdelincuentes y el nivel de sus servicios; y cuenta con una red colaboradores o partners. Ecosistemas diseñados a imagen y semejanza de los que tanta popularidad están adquiriendo en el mundo empresarial. En los foros de ciberseguridad es muy común leer: los service desk de los ciberdelincuentes son más amables y eficientes que los de un banco o compañía telefónica.

Es la industrialización del cibercrimen que algunos han dado en llamar Ciberdelincuencia como Servicio (Crime-as-a-Service), como apunta este estudio elaborado por la agencia europea Europol junto al Centro  de Ciberseguridad de la Universidad George Washington. El último informe anual de Europol, Internet Organised Crime Threat Assessment (IOCTA) 2016, recoge detalles interesantes sobre las últimas tendencias en ciberdelincuencia.

La ciberdelincuencia, que ya ha superado a la delincuencia tradicional en el mundo físico, tiene sus propias fuerzas del mercado para equilibrar oferta y demanda, sus propias barreras de entrada, su amplia y variada oferta de servicios y su especialización laboral, con roles profesionales bien definidos, tal y como describe este artículo del Centro de Ciberseguridad Nacional británico (NCSC en sus siglas en inglés)

Bajo este modelo de negocio, los ciberdelincuentes gestionan con la máxima flexibilidad los activos de –digamos- “su compañía” y saben perfectamente cómo monetizarlos y qué procedimientos pueden utilizar para blanquear el dinero. Según el tamaño de su organización, desarrollan in house o adquieren en el mercado los virus que van a utilizar; cuentan con su propio helpdesk; con sistemas para blindarse contra ataques de otros ciberdelincuentes con los que compiten; tienen su propio mercado y escaparte digital donde comprar y vender servicios; sus propios diseñadores y editores para hacer buenas réplicas de las páginas o emails que buscan suplantar la identidad original para hacerse con los datos… Y suma y sigue.

Su lógica es maximizar los beneficios con el menor nivel posible de riesgos. Como cualquier empresa. Por eso centran sus objetivos y buscan acciones en las que puedan conseguir rápidamente economías de escala. Una gran acción a escala global, como ocurrió con WannaCry y NoPetya. No es casualidad que el sector financiero haya sido históricamente uno de los más afectados por ciberataques. Pero eso está cambiando. Y va a seguir cambiando con la digitalización del resto de sectores y la llegada del Internet de las Cosas (IoT en sus siglas en inglés).

Basta recordar que uno de los más afectados por el malware WannaCry fue el sistema público de salud británico: no podía acceder a sus sistemas ni al historial clínico de los pacientes. Todos sabemos ya que los datos tiene tanto o más valor que el dinero.

Y con la creciente automatización y digitalización industrial, la llamada Industria o Empresa 4.0, ningún sector estará a salvo: energía, infraestructuras, transporte… La ciberseguridad deberá ser un aspecto clave, absolutamente integrado en su estrategia desde principio a fin.

Otro aspecto que está cambiando, fruto de esta industrialización del cibercrimen y la búsqueda de acciones que impliquen bajo riesgo, máximo beneficio y gran escala, es la tipología de ciberdelitos. El crecimiento de los ataques de ransomware, como Wannacry y NoPetya, que están haciendo sombra a los clásicos virus troyanos, no son más que una señal de la creciente organización y agresividad de la ciberdelincuencia.

Peor aún, sin desviarme de la esencia de este artículo, la frontera entre la ciberdelincuencia y el ciberterrorismo es cada vez más difícil de delimitar. El ataque NoPetya aún nos deja con la incertidumbre sobre la motivación del atacante: ¿querían dinero o simplemente causar caos?

Si la naturaleza y organización del cibercrimen ha cambiado, para combatirlo no queda otro remedio que adoptar un enfoque de seguridad más dinámico e invertir equilibradamente en mecanismos de defensa, monitorización y respuesta. En otras palabras, los controles de seguridad (personas, procesos o herramientas) no pueden permanecer estáticos y sin capacidad de evolución continua. Asimismo, la gestión presupuestaria de la ciberseguridad tiene que ser tan adaptable como la del negocio.

Conocer su forma de actuar y cómo va evolucionando ésta en el tiempo, igual que evolucionan las estrategias de las empresas para adaptarse al cambio constante, es clave para ganar la batalla a la ciberdelincuencia. Sea cual sea la forma que ésta adopte.

 

Autor: Alejandro Rivas-Vásquez es Director de Ciberserguridad de KPMG en España.

KISS Compliance

Por Alain Casanovas
on 07. 11. 2017

Kelly Johnson, ingeniero jefe de la empresa aeroespacial Lockheed pidió a su equipo de trabajo que los aviones que diseñaran fueran fácilmente reparables por cualquier mecánico con herramientas normales en cualquier taller. Era consciente de que aviones complejos podían dar muchos problemas de operación y mantenimiento, especialmente en condiciones de combate. Por eso impulsó el principio KISS, que es el acrónimo de “Keep It Simple, Stupid”. Desde entonces, es un principio célebre en el mundo de la ingeniería -incluida la de sistemas- y, como no, también en el compliance.

El principio KISS determina que la sencillez provoca que los sistemas funcionen mejor. Actualmente, es importante recordarlo puesto que los estándares modernos sobre compliance fijan sistemas de gestión propensos a generar estructuras difíciles de operar, cuando no se ha reflexionado previamente sobre ello. Los sistemas de gestión de compliance pueden verse afectados por algo que sucede en algunas infraestructuras: la dificultad no es tanto su diseño y construcción, sino en el posterior mantenimiento. En España, el régimen de responsabilidad penal de las personas jurídicas impulsó la difusión de modelos de organización y gestión para la prevención de delitos, provocando algunos modelos que no han sobrevivido en el tiempo a causa de su complejidad.

Hasta hace poco no era extraño que algunas organizaciones hicieran alarde del número de controles en materia de compliance: la que exhibía más controles se enorgullecía de un modelo de compliance más robusto. De un tiempo a esta parte se ha visto que el exceso de controles no sólo no es sinónimo de excelencia, sino posiblemente lo contrario: su multiplicidad impide operarlos y monitorizarlos correctamente, especialmente cuando el equipo responsable de ello es limitado (circunstancia bastante frecuente, dicho sea de paso). En líneas generales, cuanto mayor es el ratio de controles por persona en compliance, más difícil es avalar su efectividad. De ahí que, tras la efervescencia provocada por el compliance penal, algunas organizaciones hayan desarrollado proyectos de racionalización de controles para reducir su número pero incrementar su eficacia.

Las políticas corporativas no escapan a esta tendencia. Se llegó a pensar que aquellas políticas más complejas eran las mejores, produciendo en ocasiones textos marcadamente jurídicos, muy alejados del lenguaje de sus destinatarios. Textos diseñados para ser comprendidos por los juristas, pero no por el personal de la organización. Por eso, también las políticas internas de las empresas experimentan procesos de simplificación. En muchas ocasiones, no se trata de sustituir textos detallados por otros más sencillos, sino más bien compaginar ambos: dejar los documentos complejos a efectos de consulta, pero difundir su contenido con resúmenes o flyers que faciliten asimilar sus mensajes clave con sólo echarles un vistazo.

Algunos estudios señalan que los adultos sólo podemos mantener la atención durante 15 minutos, momento a partir del cual dejamos de filtrar correctamente la información y propiciamos un fenómeno que la neurociencia cognitiva denomina “ceguera por desatención”, especialmente cuando estamos sujetos a otros estímulos externos: leemos un documento pero no somos capaces de captar realmente su contenido por estar pensando en otras cosas. Una política sesuda y repleta de elementos no vinculados con experiencias cercanas es el modo más rápido de entorpecer la asimilación de su contenido.

Tanto la Norma UNE 19601 como las normas ISO 19600 e ISO 37001 nos hablan de la verificación del diseño y eficacia de los elementos de los sistemas de gestión, como explico en el último video de la Serie Compliance Basics, lo que en muchas ocasiones guarda relación con su sencillez.

Es fácil atiborrar de controles a una organización, como también lo es redactar políticas extraídas literalmente del tenor literal de las leyes. Más difícil es generar un entorno comprensible y de fácil aplicación, asimilable por sus destinatarios y operable por la función de compliance. En un mundo complejo, más que nunca es necesario mantener las cosas sencillas.

El camino por recorrer en la información no financiera

Por Jerusalem Hernández
on 26. 10. 2017

Desde que en las primeras crisis del siglo pasado los informes corporativos se propusieran como herramientas útiles para explicar a terceros el valor de las compañías y persuadirles de su confiabilidad, ha corrido mucha tinta.

Hoy los informes y las memorias no son muy diferentes a los de entonces, al menos en su estructura, pero sí difieren en la profundidad del contenido y en su enfoque. Ya no se trata solamente de narrar la compañía. Ahora hay que responder a expectativas y requerimientos de reguladores, supervisores y todo tipo de grupos de interés, cuya mirada está más puesta en entender los impactos que en las meras estadísticas.

KPMG lleva desde el año 1993 elaborando un estudio sobre el reporting corporativo de esto que hemos dado en llamar responsabilidad corporativa (RC) o sostenibilidad, y que no es más (ni menos) que uno de los intangibles que hoy explica el valor de las empresas.

Y es que la RC favorece de manera privilegiada la identificación de riesgos no necesariamente financieros pero que afectan al negocio. Y prepara a los propietarios y gestores para una toma de decisiones inteligente basada en las oportunidades de futuro. Por eso el reporting de todas aquellas políticas y acciones que consolidan la gestión responsable de las empresas es objeto de interés y escrutinio por parte de muchos.

El KPMG Survey of Corporate Responsibility Reporting 2017, con una muestra analizada de 4.900 compañías de 49 países, la mayor en la historia del informe, viene a poner un poco de luz sobre cómo ha evolucionado el reporting de RC en el mundo. Desde KPMG en España hemos profundizado en los datos para ver dónde se sitúan las empresas españolas en este ecosistema.

El 87% de las 100 mayores compañías españolas por ingresos cuenta con un informe que incluye información no financiera. Esto supone tres puntos más que en la anterior edición, la de 2015, y 15 puntos más que la media de las 4.900 compañías analizadas (que identificamos con el índice N100 global).

El 68% de estas compañías incluye la información no financiera en los informes anuales, dándole una mayor integración al relato corporativo. De hecho España, con 36 compañías, es la tercera en el ranking mundial de elaboración de informes integrados conforme al marco del International Integrated Reporting Council (IIRC), solo por detrás de Sudáfrica y Japón, cuyas regulaciones orientan a las compañías a realizar documentos de este tipo. Una tendencia en alza y en la que España está bien situada, a pesar de que el marco de la Global Reporting Initiative (GRI) sigue siendo el más popular en todo el mundo y también en España (77% de compañías que reportan en nuestro país lo hacen conforme a GRI).

Las empresas españolas también superan al N100 global en lo que a aseguramiento se refiere. El 55% de las compañías que reportan sobre RC cuenta con una verificación independiente de los indicadores reportados, 10 puntos más que la media de las compañías de los 49 países analizados. Sin embargo, el nivel de aseguramiento es un camino en el que se puede avanzar, pues solo en torno a la mitad de esas compañías verifica el informe completo y más de las tres cuartas partes utilizan un nivel de aseguramiento limitado.

Probablemente la aplicación de la Directiva 2014/95/UE sobre divulgación de información no financiera e información sobre diversidad impulsará un importante cambio, puesto que traslada a los consejos de administración la responsabilidad de garantizar que la información no financiera contenida en los informes corporativos es fiable.  Y, ¿qué consejero va a afirmar tal cosa si no cuenta con las garantías necesarias? Sin duda, vienen tiempos de aseguramiento…

Pero el estudio de este año también ha querido detenerse en otras tendencias emergentes para ver cómo las compañías están incorporando en sus relatos corporativos nuevos asuntos de interés.

Uno de estos asuntos es la identificación y evaluación de los riesgos financieros de cambio climático. Desde que en 2015 el Consejo de Estabilidad Financiera destacara el cambio climático como un riesgo para la estabilidad del sistema financiero global y creara el Grupo de Trabajo sobre divulgación financiera relacionada con el clima (TCFD), ha crecido la presión sobre las empresas para mejorar la información que ofrecen acerca de este tipo de riesgos.

Aún es pronto para afirmar que el objetivo está cumplido pues solo 29 de las 100 compañías españolas analizadas (28% en el caso del N100 global), reconocen en sus informes que los riesgos de cambio climático pueden tener un impacto financiero en su negocio. Y si pocas son las que los reconocen, apenas hay un 3% que los mide.

La información sobre la contribución a los Objetivos de Desarrollo Sostenible (ODS) de las Naciones Unidas muestra una cara bien distinta. Las empresas españolas son de las que más rápidamente han integrado esta estrategia global entre sus objetivos de sostenibilidad. Con el 53% de compañías reportando sobre esta cuestión, España se sitúa entre los 10 países que más conectan la actividad de RC con los objetivos de Desarrollo Sostenible en su segundo año de vida. España luce así nada menos que 14 puntos por encima de la media de los 49 países analizados.

Pocos meses después de que en nuestro país se haya aprobado el Plan de Acción Nacional de Empresas y Derechos Humanos, y seis años tras la aprobación de los Principios Rectores por parte de Naciones Unidas, el 82% de las empresas españolas ya reconocen como una cuestión más del negocio su contribución al cumplimiento de estos derechos. Son nueve puntos más que en el N100 global.

La última tendencia emergente analizada en este estudio se refiere a la incorporación en los informes de los objetivos corporativos de reducción de emisiones de gases contaminantes. Tras el acuerdo de París y la incertidumbre generada por países como Estados Unidos, sigue siendo imperativo cumplir con los objetivos fijados para evitar que la temperatura global siga subiendo.

A las puertas de la futura Ley de Cambio Climático y Transición Energética que se está cociendo en España, el 60% de las compañías españolas que reportan sobre sostenibilidad desvela sus objetivos de reducción de emisiones. Son 10 puntos más que en el N100 global. El 43% de esas compañías refiere sus objetivos a los del acuerdo de París y el 12% los pone en relación con los objetivos nacionales.

Estamos, por tanto, ante un escenario donde el reporting corporativo avanza como instrumento de generación de confianza y de respuesta a las inquietudes de reguladores, inversores y otros grupos de interés. Y es que ya lo dice una de las crónicas antiguas más leídas en el mundo, “no hay nada oculto que no llegue a saberse, ni secreto que no haya de ser conocido y salga a la luz” (Lucas 8:17).

Es preferible, por tanto, preparar proactivamente el relato corporativo dado que lo que la compañía no cuente, alguien lo contará en su lugar. O como decía el escritor español Eugenio D’Ors, en Madrid a las siete de la tarde o das una conferencia o te la dan. Pues bien, a las compañías les han llegado esas siete de la tarde de Madrid en las que o participan de la mesa de información sobre riesgos de cambio climático, objetivos de reducción de emisiones, Derechos Humanos y Objetivos de Desarrollo Sostenible, o serán espectadores mientras otros (inversores, reguladores, clientes, sociedad) les piden cuentas y ponen en tela de juicio su capacidad para identificar riesgos u oportunidades que bien claro es que afectarían al negocio.

 

Autora: Jerusalem Hernández Velasco es Senior Manager de Gobierno, Riesgo y Cumplimiento de KPMG en España

El primer objetivo ya se ha cumplido, ahora quedan muchos otros

Por José Luis Blasco
on 10. 10. 2017

Hace unas semana tuvo lugar en Nueva York la Asamblea General de las Naciones Unidas con el propósito de revisar la agenda global y los progresos realizados en los Objetivos de Desarrollo Sostenible.

Hace dos años, en este mismo lugar, 193 países firmaron lo que se quería que fuera el plan estratégico del planeta para los próximos quince años. Pese al corto periodo de tiempo transcurrido, podríamos decir ya han logrado su primer éxito. Uno que, aunque no se encontraba en la lista, era quizá el más importante: convertirse en la referencia capaz de alinear a diferentes países y actores de la agenda global en torno a un set común de temas, objetivos y métricas. Es, claramente, la agenda de esta generación. “El GPS que necesitábamos para guiar los esfuerzos globales”, como comentaba en una de las sesiones el secretario general de la OCDE, Angel Gurría.

Según este organismo, se calcula que para activar las 169 metas que contienen los Objetivos de Desarrollo Sostenible (ODS) se precisan entre 5 y 7 billones de dólares, lo que significaría unos 2,5 billones adicionales de inversión para los países en vías de desarrollo. Sin embargo, la inversión oficial al desarrollo, aun llegando a máximos en 2016, se calcula tiene su techo entre los 150-200.000 millones, una cantidad considerablemente menor a las necesidades.

En las reuniones de mediados de septiembre en el emblemático edificio de las Naciones Unidas en Nueva York  quedó ya patente que existe el consenso sobre que los tiempos de la “financiación” tradicional de proyectos tienen los días contados y hay que dar paso a nuevas formas de “inversión”.

Un reciente informe de la Business & Sustainable Development Commission estima que los Objetivos de Desarrollo Sostenible crearán oportunidades por valor de 12 billones de dólares en agricultura y procesamiento de alimentos, ciudades, energía, materiales y salud. Esta inversión activaría 380 millones de nuevos empleos en 2030 en todo el mundo.

Para atender estas oportunidades, además de los contratos de colaboración público-privada (PPPs) en sus diferentes variantes, comienzan a desarrollarse nuevos instrumentos de inversión denominados blended. Se trata de una estrategia innovadora para movilizar conjuntamente recursos del sector público, del privado y de organizaciones sin ánimo de lucro con el objetivo de producir un impacto positivo de mayor magnitud. Las nuevas fórmulas van desde la toma de deuda junior o subordinada, la titulización de la inversión, hasta rentabilidad en base a resultados o la aportación de asistencia técnica como parte de la inversión. Estas novedosas estructuras de financiación de proyectos de desarrollo están multiplicando entre cinco y veinte veces la participación de fondos privados. Con la Comisión Europea y el Banco Mundial a través de la International Finance Corporation a la cabeza, se han impulsan medio centenar de proyectos de este tipo.

Aunque presente y apoyada en los discursos que hemos escuchado en la Asamblea General de la ONU, estas innovaciones en la financiación no son acogidas con tanto entusiasmo en los pasillos. Los funcionarios de las agencias de Naciones Unidas y las ONGs se muestran renuentes a la transformación que viene. Además de algunas reticencias connaturales del sector público a la participación de entidades privadas en la implementación de políticas públicas, temen que el cambio en el enfoque impacte en la formulación de los proyectos, la necesidad de un mayor escrutinio y de contar con mejores métricas para medir el impacto, los retornos, etc. Lo normal, cuando se incluyen organizaciones que se juegan su dinero.

La cabeza del león de estos proyectos de inversión se prevé se concentre en los sectores de infraestructuras de transporte, agua y saneamiento, así como de energía. Una oportunidad relevante para compañías capaces de articular consorcios con niveles de riesgo bajos, aceptables para los fondos de infraestructuras, de pensiones, pero también para nuevos agentes interesados en estas fórmulas como son las agencias de desarrollo o las grandes instituciones filantrópicas.

Si, como todo apunta, estos objetivos servirán de faro para aunar esfuerzos para mejorar, plantear desde el comienzo del debate la búsqueda de fórmulas creativas para movilizar los recursos necesarios es, sin duda, una aproximación valiente y realista.

La ambición de las metas y la recompensa prometida exigirán la mejor versión de esta generación.

 

Sesgo retrospectivo en compliance

Por Alain Casanovas
on 03. 10. 2017

Poco antes de las 8 horas se perdió la comunicación con el transbordador espacial Columbia, en su secuencia de entrada a la atmósfera terrestre. Era el 1 de febrero de 20003 y se confirmaba la desintegración de la nave y el fallecimiento de sus siete tripulantes. A partir de aquel  momento se suspendieron los lanzamientos de transbordadores hasta dar con la causa del desastre, que resultó deberse a un problema relativamente sencillo de evitar. Una vez materializados los incidentes, llueven críticas por no haber dispuesto los medios para su prevención que, en muchos casos, no entrañan complejidad alguna. Es el sesgo retrospectivo de las personas, que nos hace considerar como obvias cuestiones que en su momento no lo eran. Todo un clásico en los incidentes de Compliance.

Resultó que a los 81 segundos de su lanzamiento, la parte inferior de una de las alas del transbordador recibió el golpe de un pedazo de espuma de poliuretano que recubría el tanque externo de combustible. El impacto no se percibió por la tripulación y Control de misiones restó importancia al incidente, que también se había detectado en misiones anteriores.

Algunos procedimientos de control, como el visionado de la secuencia de lanzamiento por el equipo de supervisión, están sujetos a errores de apreciación humanos. De hecho, nuestras actividades se desenvuelven en el contexto de los problemas realistas, donde inciden tal cantidad de variables que sólo el cerebro humano las puede procesar y extraer rápidamente una conclusión aparentemente acorde con las circunstancias: sucede cuando dosificamos la presión sobre el pedal de freno de nuestro vehículo ante una situación de riesgo, procesando a velocidad de vértigo muchísima información: la distancia, estado del piso, situación del tráfico, consecuencias previsibles de nuestra maniobra, etc. Pero las estimaciones que nos brinda nuestro cerebro son falibles y en ocasiones nos equivocamos. Por eso, desde hace años se desterró el principio de seguridad absoluta en ámbito de la gestión de riesgos, pues muchos  controles dependen finalmente de nuestro juicio, expuesto al error especialmente en contextos de estrés.

Como podemos imaginar, la gestión desarrollada por Control de misiones fue muy cuestionada, especialmente porque el problema que causó la pérdida de siete vidas se había identificado en misiones anteriores. La socióloga Diane Vaughan habla del sesgo “normalización de la desviación”, que se produce cuando una irregularidad se reitera sin mayores consecuencias, pasando entonces a formar parte de la normalidad y escapando del entorno de control. En Compliance, las irregularidades deben ser analizadas y evitar que se consoliden, aunque no desencadenen consecuencias negativas inmediatas.

Con esos antecedentes, bastantes analistas y periodistas consideraron que el incidente que sufrió el transbordador era predecible y fácilmente evitable. El sesgo retrospectivo lleva a percibir eventos pasados como predecibles e incluso modifica nuestros recuerdos para hacernos creer que siempre mantuvimos ese pronóstico: “yo ya lo dije”. En los incidentes de Compliance es difícil evitar la concurrencia de tal sesgo, que puede afectar a las autoridades administrativas y judiciales frente a un resultado aparentemente previsible. Valorar la idoneidad de las los controles y las decisiones exige retrotraerse al momento en que se adoptaron, haciendo abstracción de hechos posteriores. Tal vez una mala decisión fuera la correcta en el contexto donde se adoptó. Desde luego, el Equipo de Gestión de la Misión (MMT) defendió que las razones para abortar la misión eran pésimas entonces, pues nadie podía prever las consecuencias catastróficas del impacto de un simple pedazo de poliuretano en una nave valorada en más de 2.000 millones de euros en el año 2003.

Las personas estamos condicionadas por el conocimiento adquirido después de un evento, circunstancia que incide indefectiblemente en nuestra estimación posterior de probabilidad de que sucediera. Lamentablemente, algunas evaluaciones de riesgos de Compliance sufren las consecuencias de este sesgo, cuando, materializado un incidente, nadie comprende cómo no se previó. Este efecto se conoce como “falacia del historiador”, mencionada por primera vez por David Hackett Fischer, que sucede al dar por supuesto que quienes adoptaron una decisión podían considerar informaciones o puntos de vista posteriores a la misma.

No sólo las evaluaciones de riesgos están expuestas al sesgo retrospectivo, sino muchas otras valoraciones en el ámbito del Compliance, incluyendo la contratación o promoción de personal o la formalización y mantenimiento de relaciones con terceros. Son contextos en los que también se puede criticar qué la organización mantuviera vínculos con personas que han observado después conductas claramente contrarias a sus valores. Los indicadores de perfil de riesgo (Risk Metrics) que comento en el vídeo número 10 de la Serie Compliance Basics, permiten capturar y considerar datos objetivos que facilitan identificar relaciones de riesgo y adoptar a tiempo las medidas mitigantes oportunas. Reducen la exposición a comportamientos nocivos y ayudan a explicar los motivos de nuestras decisiones, en caso de que se precise analizarlas retrospectivamente.

Lecciones aprendidas de la resolución bancaria

Por Francisco Uría
on 27. 09. 2017

El pasado julio la presidenta de la Junta Única de Resolución realizó su comparecencia anual en el Parlamento Europeo para presentar su informe sobre la actividad realizada el pasado 2016. Habiéndose producido pocos días antes la resolución del Banco Popular, aprovechó para realizar algunas reflexiones a propósito de la misma. También se han producido declaraciones públicas de la presidenta del Consejo de Supervisión del BCE y otros representantes del mismo. El hilo conductor de todas estas intervenciones alude a la singularidad de un caso en que la resolución estuvo provocada, en última instancia, por una situación grave de falta de liquidez.

Los problemas de liquidez de una entidad de crédito se caracterizan por manifestarse y producir sus efectos con mucha más velocidad que los de solvencia, obligando así a las autoridades a adaptar sus decisiones en plazos mucho más breves. De hecho, y por lo que se ha ido conociendo, el Popular comunicó al BCE que su posición de liquidez le haría imposible cumplir con sus obligaciones de forma prácticamente inmediata, lo que obligó a las autoridades a adoptar sus decisiones e implementarlas en un plazo extraordinariamente reducido.

No pueden juzgarse esas decisiones sin tener en cuenta el marco jurídico existente en ese momento, los instrumentos de que se disponía y partiendo de que el objetivo fundamental de la resolución es preservar la estabilidad del sistema financiero, por lo que el éxito o fracaso de la acción de resolución deben juzgarse a partir del hecho de que el Popular abrió sus oficinas a la mañana siguiente de su resolución con total normalidad, habiéndose resuelto gracias a su comprador (Santander) sus problemas de liquidez, y quedando protegidos los derechos de los depositantes.

Lo sucedido ha suscitado la reflexión sobre si cabrían modificaciones normativas que pudieran mejorar o completar los instrumentos disponibles para enfrentarse a situaciones graves de falta de liquidez.

En este sentido, se abren dos vías. En primer lugar, una previa a la resolución, que sería la existencia de un auténtico prestamista de última instancia que pudiera realizar un apoyo puntual de liquidez más allá de la posibilidad que ofrece el mecanismo actual dependiente de la aportación de un colateral de calidad. En segundo término, la señora Elke König se refirió a la posible existencia de instrumentos jurídicos que pudieran proporcionar algo más de tiempo a las autoridades de resolución para adoptar e implementar sus decisiones respecto a la entidad en dificultades y, entre ellas, hizo referencia a una posible moratoria en los pagos.

Lo ocurrido debe servirnos para reflexionar acerca de los instrumentos de que disponen las autoridades de supervisión y resolución y completarlos para mejorar su efectividad incluso en situaciones difíciles y sobrevenidas de falta de liquidez, de tratamiento siempre complejo. Todo ello, sin menoscabo de los derechos de los accionistas minoritarios, cuya respuesta se deberá dilucidar ahora en los tribunales

Gestores XL, empresas XXL

Por Ramón Pueyo
on 14. 08. 2017

El 79% de los directivos creen ser mejores que la media. Lo contaba, hace algunos años, Harvard Business Review. Este desproporcionado optimismo, también llamado ilusión de superioridad o efecto mejor-que-la-media, no es patrimonio exclusivo de los gestores. Lo comparten profesores de universidad, empleados de multinacionales o conductores suecos. El artículo no decía nada de los gestores españoles. Pero quizá nuestros datos de tamaño y productividad rebajen su optimismo. Como es sabido, la población de empresas españolas está sesgada hacia las de menor tamaño. Por ejemplo, las británicas y alemanas multiplican por dos el de las españolas. Esto no es baladí; el tamaño está relacionado, entre otros, con la productividad, la capacidad de innovar o la retribución media. Por eso, el actual debate acerca de la mejora salarial debe acompañarse de uno sobre el tamaño de nuestras compañías. Cuando hablamos de empresas, lo pequeño es hermoso, pero lo grande es próspero, forma más y paga mejor.

Las explicaciones acerca del tamaño de las compañías españolas se refieren principalmente al entorno regulatorio e institucional, que podría desincentivar el crecimiento. En este sentido apuntan, sobre todo, las líneas de trabajo esbozadas en un reciente informe del Ministerio de Economía, Industria y Competitividad, titulado Informe sobre Crecimiento Empresarial.

Otra tesis cada vez más presente en el debate se refiere a la calidad de las prácticas de gestión de nuestras compañías de menor tamaño. Según esta, nuestros gestores hacen uso de técnicas de gestión avanzadas en menor medida que sus homólogos de otros países. Bajo este punto de vista, el menú de recetas para mejorar el tamaño debería contemplar también la mejora de las técnicas de gestión y del talento directivo.

Definir buena gestión no es sencillo. Es un terreno donde el feedback no es inmediato y abonado a la homeopatía y a las modas. Lawrence Freedman hacía referencia en Strategy (Oxford University Press, 2013) a un estudio que analizó si el uso de técnicas de gestión que se pusieron de moda tenía un impacto positivo sobre el desempeño empresarial. La respuesta fue negativa. Freedman también contaba que entre 1962 y 2008 se utilizaron 91 definiciones distintas de estrategia empresarial. No es sencillo, por lo tanto, identificar y señalar los elementos de la buena gestión. Pero es imprescindible si mejorarla es uno de los caminos hacia el aumento de tamaño de las compañías españolas. Afortunadamente, ya hay quien se ha tomado la molestia de hacer este trabajo.

El World Management Survey es una iniciativa impulsada por prestigiosos investigadores bajo el auspicio de universidades y escuelas de negocio de primer nivel. Trata de separar el grano de la paja y destilar, olvidando las modas, los elementos que constituyen la buena gestión empresarial. Su conclusión es que la esencia de la buena gestión se traduce en un número reducido de cuestiones concretas relativas a la monitorización del desempeño, al establecimiento de objetivos y a los incentivos definidos. Nada particularmente sofisticado. La pasada primavera, publicaron los resultados de aplicar su modelo al análisis de 32.000 centros productivos norteamericanos. Querían determinar la extensión en el uso de las técnicas de gestión identificadas y su impacto en el desempeño. Sus resultados son reveladores. Solo un 20% de la muestra analizada hacía uso de más del 75% de los parámetros de gestión analizados. También concluyeron que el uso de las técnicas del modelo estaba asociado a un dramático aumento de la productividad. Su conclusión es que la aplicación de las técnicas de gestión analizadas en los tres ámbitos descritos es el principal factor explicativo del éxito de las compañías o de su longevidad, entre otros. Por delante de otros factores explicativos tradicionalmente utilizados, como la inversión en I+D o las competencias o capacidades de los empleados, entre otros.

Quizá, y dada la creciente importancia del tamaño de nuestras compañías en la agenda económica, y a la luz de los hallazgos del World Management Survey, convendría entender el estado de la cuestión y poner el foco en las técnicas de gestión de las empresas españolas de menor tamañoY persuadir a nuestros gestores de que la gestión tiene una parte de arte pero otra de ciencia. Y que no todas las técnicas son moda.

Autor: Ramón Pueyo es socio de Governance, Risk and Compliance de KPMG en España