Al revisar informes fácticos de fallas corporativas globales, ya sea de SAP, FCPA, sanciones, controles de exportación o esquemas contra el lavado de dinero y esquemas de mala conducta sistémica, la historia parece seguir un patrón familiar.
Antilavadodedinero / volkovlaw
Una empresa comienza con controles de cumplimiento inadecuados, se involucra en infracciones impulsadas por el deseo de ganar dinero y aumentar el negocio, se entera de las infracciones a través de una auditoría interna, una evaluación del programa de cumplimiento y / o un informe de denuncia de irregularidades, y no responde al mecanismo de denuncia interno. así continuando la conducta e incluso ampliando el esquema para disfrutar de mayores ganancias.
Para simplificar, la empresa hace un cálculo básico, la empresa vale el riesgo de una acción de ejecución, la sanción y cualquier daño a la reputación. Tal vez me estoy volviendo cínico, pero cada vez más parece que las empresas toman una decisión económica básica: los ingresos de la conducta ilegal no se ven disuadidos por cualquier sanción que se pueda imponer.
Cómo cambiar este cálculo es un tema para otro día, pero es suficiente decir, algo no está haciendo clic en el mundo de hoy, los incentivos están sesgados y el dinero reina, incluso cuando las estrategias miopes controlan.
Pasando a los años de SAP de control de exportaciones y violaciones de sanciones, estoy a punto de repetir la historia una vez más.
SAP es una empresa de software global y opera en 180 países. Proporciona un amplio complemento de servicios de software, incluido el software basado en las instalaciones, las suscripciones basadas en la nube y los servicios profesionales. SAP tiene una amplia red de revendedores.
Los clientes de SAP obtienen software, así como actualizaciones, a menudo descargándolo de la nube. Muchos productos de SAP contienen software de origen estadounidense para fines de controles de exportación y regulaciones de sanciones.
A partir de 2017 y continuando hasta 2017, SAP lanzó miles de descargas de productos, actualizaciones y parches de SAP para usuarios en Irán. Las descargas de SAP a los usuarios de Irán superaron las 25.000 instancias independientes. La alta dirección de SAP era consciente de que SAP no mantenía filtros de geolocalización para identificar y bloquear las descargas de Irán, y durante años no tomó ninguna medida para abordar el problema.
La gran mayoría de estas descargas fueron a 14 empresas, que los socios de SAP en Turquía, Emiratos Árabes Unidos, Alemania y Malasia sabían que eran empresas fachada de Irán. Las descargas restantes se destinaron a varias empresas multinacionales con operaciones en Irán.
Además, los terceros de SAP, los socios comerciales de SAP, vendieron software de las instalaciones de SAP y servicios relacionados a los clientes de Irán. Aproximadamente desde 2011 hasta 2017, el Cloud Business Group de SAP (“CBG”) permitió que aproximadamente 2.360 usuarios de Irán accedan a servicios en la nube con sede en Estados Unidos desde Irán.
A partir de 2011, SAP adquirió varios CBG y se enteró de que estas empresas no tenían procesos adecuados de control de exportaciones y cumplimiento de sanciones. SAP tomó la decisión de permitir que estas empresas continúen operando como entidades independientes después de adquirirlas y no pudo integrarlas en el sólido programa de cumplimiento de sanciones y controles de exportación de SAP.
SAP realizó varias auditorías internas de sus controles de exportación y procesos de cumplimiento de sanciones durante un período de 2006 a 2014. A partir de 2006, SAP identificó el hecho de que no pudo identificar el país al que se produjo la descarga de un cliente y que podría estar en riesgo de violar los controles y sanciones de exportación. No se instituyeron cambios.
Las auditorías posteriores continuaron identificando brechas en los programas de cumplimiento de sanciones y controles de exportación de SAP. La auditoría de 2014 señaló que SAP continuó sin identificar los países asociados con las direcciones IP de los clientes para bloquear descargas a países embargados. No fue hasta 2015 que SAP comenzó a bloquear descargas a ciertos clientes en países embargados, aunque SAP tenía la capacidad técnica para hacerlo mucho antes.
A partir de 2015, SAP comenzó a bloquear las descargas locales para clientes en países embargados, pero continuó permitiendo descargas sin restricciones de servicios basados en la nube, actualizaciones y parches.
Con respecto a sus revendedores externos, desde junio de 2013 hasta enero de 2018, SAP vendió licencias de software, servicios de mantenimiento y servicios de suscripción basados en la nube a través de revendedores en Turquía, los Emiratos Árabes Unidos, Alemania y Malasia a los usuarios finales de Irán. Estas empresas de revendedores estaban, de hecho, controladas por ciudadanos de Irán. SAP sabía o tenía motivos para saber que los revendedores estaban proporcionando servicios de software a los clientes de Irán.
La debida diligencia de SAP con sus revendedores fue deficiente y habría revelado sus conexiones con empresas de Irán. Por ejemplo, el sitio web de un revendedor publicitó sus vínculos comerciales con empresas de Irán.
SAP tampoco investigó las quejas de los denunciantes en 2011 y 2016, informando que el software de SAP se estaba vendiendo a empresas fachada de Irán para su entrega y uso definitivos a los clientes de Irán.
