En junio de 2020, cuando el Departamento de Justicia de los Estados Unidos (DoJ) emitió directrices actualizadas sobre cómo evaluar los programas de cumplimiento corporativo, llegó con un mandato claro a las empresas: los programas de cumplimiento deben usar tecnología sólida y análisis de datos para evaluar sus propias acciones y las de cualquier tercero con el que hacen negocios, desde el punto de compromiso en adelante. Al menos, se espera que las empresas puedan explicar las razones para el uso de terceros, si tienen relaciones con funcionarios extranjeros y cualquier riesgo potencial para su reputación.
Antilavadodedinero / strategybusiness / Por: Kim David Greenwood, Sean Torcasi, y Matt Kral
Este es un cambio de juego de cumplimiento. Históricamente, las organizaciones podían argumentar que simplemente no tenían la información disponible para identificar la posible disonancia de cumplimiento a través de sus redes: la «aguja en una defensa pajar». Ahora se espera que las organizaciones demuestren que están aprovechando los datos y aplicando análisis modernos para obtener información y navegar por los riesgos en toda su red empresarial.
Muchas empresas, incluidas las grandes multinacionales de diversos sectores, no se han centrado en este ámbito, porque han considerado el cumplimiento simplemente como una obligación o incluso una idea posterior. Están perdiendo una oportunidad. El uso de las herramientas modernas disponibles hoy en día para garantizar una gestión de riesgos de terceros sólida e incluso una gestión interna de riesgos puede conducir a una mejor oferta o higiene de los contratos y reforzar la protección de datos; también puede ayudar a elaborar políticas ambientales y evaluar los riesgos para la salud y la seguridad, incluso en la ciberseguridad, lo que es particularmente importante, ya que la pandemia COVID-19 ha creado un aumento en el trabajo a distancia.
La orientación actualizada del Departamento de Justicia está claramente destinada a mejorar la detección de cualquier fraude o corrupción. Esto incluye determinar si el personal de cumplimiento y control tiene suficiente acceso directo o indirecto a las fuentes de datos pertinentes para permitir una supervisión y/o prueba oportunas y efectivas de las políticas y controles. A su vez, esto ha puesto el foco en cómo las organizaciones están invirtiendo en tecnología para apoyar estas áreas.
La gestión de terceros, impulsada por la tecnología, es ahora una expectativa de referencia del Departamento de Justicia en cualquiera de los procesos que lleva bajo la Ley de Prácticas Corruptas En el Extranjero (FCPA, por sus días), la legislación estadounidense que permite el enjuiciamiento de corrupción y fraude perpetrado fuera de los Estados Unidos, tanto por estados Unidos como por no estadounidenses. empresas (y las personas asociadas con ellos) que tienen cualquier operación comercial en el país. «La guía reciente es un gran problema para alguien como yo que se centra en la mejora continua de nuestro programa de cumplimiento», dijo Alan Gibson, un asistente del abogado general en la oficina de cumplimiento legal de Microsoft. «El énfasis en el análisis de datos y la gestión de riesgos de terceros ha evolucionado hasta el punto de que ya no solo estamos leyendo entre líneas. La expectativa de que las empresas utilicen estas herramientas ha sido expresamente llamada».
El brazo largo de la ley
El impulso del cambio se ha ido construyendo. Las empresas se están volviendo inherentemente más riesgosas debido a las operaciones globales y a una mayor dependencia de terceros. Mientras tanto, la tecnología está ayudando a organismos como la Comisión de Valores y Bolsa y el Departamento de Justicia a ser más inteligentes a la manera de descubrir irregularidades. (La Ley de Soborno del Reino Unido y otras leyes europeas también están apuntando a la corrupción en todo el mundo.)
Consideremos las cifras: En la última década, ha habido un aumento significativo en los procesos judiciales y multas tanto en los Estados Unidos como en otros lugares cobrados contra las empresas por corrupción. Las multas impuestas por violaciones de la FCPA, por ejemplo, han aumentado exponencialmente. La multa promedio en 2010 fue de unos pocos millones de dólares; en 2019, fue de US$135 millones, de un total de más de US$2.500 millones recaudados en sanciones, según una investigación de la Escuela de Derecho de Stanford en colaboración con el bufete de abogados Sullivan y Cromwell. La mayor multa de este año fue de casi 4.000 millones de dólares.
La gama de sanciones por fallos de cumplimiento es amplia, como se ha demostrado anteriormente. De una multa de menos de $2 millones por mantener registros deficientes, por ejemplo, la sanción puede subir rápidamente. Y la falta de datos para apoyar las capacidades predictivas ya no es una excusa que el Departamento de Justicia está dispuesto a aceptar. «Queremos que las empresas inviertan en programas de cumplimiento robustos y eficaces antes de la mala conducta, así como en una pronta respuesta correctiva a cualquier mala conducta que se descubra», dijo el entonces subprocurador general adjunto del Departamento de Justicia Matthew S. Miner en un discurso de septiembre de 2019 en el Sexto Instituto Anual de Cumplimiento gubernamental en Houston. Como resultado, la orientación futura actual y probable sobre el cumplimiento de terceros refleja el nuevo aprecio de las autoridades por lo que la tecnología puede hacer.
Convertir palos en zanahorias
Microsoft ha sido parte de los esfuerzos pioneros para desarrollar soluciones habilitadas para la tecnología que puedan abordar los requisitos regulatorios y combatir más ampliamente la corrupción. Estos esfuerzos demostraron el poder de las herramientas digitales para identificar, predecir y monitorear proactivamente el mal comportamiento y los malos actores. Pero las empresas no deben ver estos requisitos modernos de cumplimiento sólo como un palo. La tecnología avanzada que es predictiva y proactiva, y que resulta en una mejor visibilidad del panorama de riesgo, ofrece más que protección contra investigaciones y procesamientos. Para las empresas que quieren prosperar en el entorno actual basado en datos, esta tecnología proporciona una ventaja competitiva tecnológica: apuestas de tabla que pueden mitigar el riesgo y ayudar a dar luz verde a las oportunidades con más confianza porque los riesgos se han evaluado adecuadamente.
Las capacidades sólidas, habilitadas para la tecnología y de gestión de riesgos de terceros pueden fortalecer el gobierno corporativo, lo que a su vez mejorará la reputación y generará confianza. En esencia, el cumplimiento ya no debe verse simplemente como un centro de coste de la trastienda. Más bien, es un medio para fortalecer la marca de negocio, aumentar la productividad e impulsar el crecimiento de la cuota de mercado, con relevancia en la suite C y a nivel de la junta.
Según Marko Kuzmanovic, el director financiero de Microsoft que supervisa la planificación, el crecimiento y la innovación para el escritorio de acuerdos de alto riesgo de Microsoft, «Al participar temprano en el ciclo de vida del contrato de ventas y proporcionar supervisión de cumplimiento y educación continua sobre riesgos, nosotros [en Microsoft] hemos sido capaces de realizar una mejor construcción de acuerdos más compatible. Esto es crítico en el cuarto de final cuando los volúmenes de transacción aumentan. Los vendedores interiorizan la orientación sobre riesgos y garantizan proactivamente que su contrato cumpla con los estándares de cumplimiento de la empresa, a menudo reduciendo las concesiones monetarias que mejoran el margen y la rentabilidad».
Llevar la tecnología a la fiesta
Hace cuatro años, PwC y Microsoft trabajaron estrechamente juntos para desarrollar aún más un conjunto de herramientas de análisis de cumplimiento habilitadas para la tecnología llamada Risk Command. «Comenzamos el viaje para responder a las presiones internas y externas para adoptar un enfoque ‘basado en datos'», recordó Gibson. «Pero parece ser lo que los reguladores esperan ahora y sirve como un punto de referencia para lo que otros pueden querer hacer».
Estas herramientas de análisis de cumplimiento se han expandido de una ayuda inicial de diligencia debida para formar soluciones que combinan y consideran múltiples factores de riesgo o atributos. Incluyen dónde operan las empresas, patrones impares en las transacciones, niveles de descuento atípicos, velocidad de ventas inusual u otros detalles que podrían sugerir un mayor nivel de riesgo o actividad fuera de lo común. Las herramientas están impulsadas por un modelo de aprendizaje automático que analiza los atributos de cada riesgo potencial , ya sea un contrato o un socio potencial, por ejemplo – a partir de una amplia variedad de fuentes públicas y datos internos, y los alimenta en un algoritmo que les da una puntuación de riesgo en una escala de 0 a 100. Este análisis, reforzado por el tamaño del lago de datos —la recopilación de datos disponibles— proporciona información tanto sobre terceros como sobre transacciones de ventas relacionadas. Y, con cada uso, estos análisis predictivos se hacen más inteligentes y hábiles en la identificación de anomalías, construyendo efectivamente una mejor ratonera para evitar el incumplimiento.
El sistema monitorea la actividad en tiempo real en todo el mundo, 24/7. Pero sigue siendo el caso de que las personas necesitan revisar los conocimientos y proporcionar una evaluación humana para mitigar los riesgos de cumplimiento. Este es el trabajo uno. Obtener todo el valor de la inversión en la tecnología se produce cuando los conocimientos que produce se pueden utilizar para desarrollar un enfoque más estratégico del cumplimiento, que podría llamarse un modelo operativo de cumplimiento por diseño.
En un contrato de ventas, por ejemplo, los datos proceden de una variedad de fuentes que necesitan estructurarse e introducirse en el sistema. La verdadera magia ocurre cuando esos datos conducen a la comprensión. «No se trata sólo de proporcionar visualizaciones o informes», explicó Gibson, de Microsoft. «Esto va más allá de simplemente proporcionar inteligencia empresarial, porque te dice lo que es arriesgado, por qué es arriesgado y cómo mitigar eficazmente ese riesgo. Esa es la salsa especial que nos permite pasar de los datos a la visión a la acción».
La flexibilidad de tecnología como esta se presta a una amplia gama de aplicaciones de cumplimiento, desde mitigar los riesgos de corrupción, hasta cuestiones de ciberseguridad y privacidad, hasta antimonopolio, comercio, propiedad intelectual y litigios. Aquí es donde los departamentos de cumplimiento pueden crear una ventaja competitiva. Por ejemplo, para garantizar que los contratos de venta tengan una protección adecuada de la propiedad intelectual (P.I.), el sistema podría establecerse para marcar las patentes que expiran, buscar posibles infracciones de P.I., poner de relieve las anomalías en la fabricación o en la cadena de suministro y proporcionar una revisión automatizada de los contratos. También podría establecerse para identificar y mitigar las amenazas cibernéticas antes de que infecten su red, con revisiones automatizadas de privacidad de datos sobre activos digitales.
Mejor mando y control
Las compañías farmacéuticas han sido durante mucho tiempo propensas a las preocupaciones de gobernanza, lo que ha llevado a muchas a enfrentar multas significativas por una mala gestión del riesgo en áreas tales como pruebas de drogas, ensayos y marketing. En algunos casos, se ha sorprendido a empresas sobornando a médicos para recetar medicamentos o produciendo desinformación, intencionalmente o no. Más allá de la cadena de suministro y la calidad y seguridad de sus productos, también conocidas como farmacovigilancia, las áreas clave de riesgo incluyen la privacidad y las prácticas promocionales. Estas actividades multicapa y complejas están maduras para el abuso, poniendo a las empresas en el sector bajo el microscopio regulatorio, lo que a menudo resulta en multas y costosas acciones legales.
Para un gigante farmacéutico global, PwC ayudó a construir un sistema de control de riesgos que utilizaba un gran número de fuentes de datos externas e internas para marcar a los terceros de mayor riesgo que requerían la debida diligencia adicional antes de contraerse. En un período de tres meses, marcó más de 50 riesgos potenciales que la compañía pudo abordar antes de que cualquiera de ellos se materializara en un problema.
Cualquiera que sea el tamaño del negocio, uno de los desafíos de usar un sistema que aproveche la IA o el aprendizaje automático es generar confianza entre las partes interesadas internas. Los falsos positivos y los falsos negativos pueden ocurrir con las máquinas, tal como pueden con la investigación manual. La gente necesita saber que la ratonera atrapará al ratón. Los programas piloto, que ejecutan datos históricos sobre acuerdos que se sabe que han sido problemáticos, pueden ayudar a demostrar que la IA habría identificado el problema en tiempo real.
La mayoría de los abogados de cumplimiento saben acerca de blockchain y bots, por lo que no es un salto mostrar cómo esta tecnología se puede aplicar a los procesos de cumplimiento interno. Por ejemplo, un fabricante industrial multinacional inició recientemente un piloto utilizando el Comando de Riesgos para realizar revisiones de contratos en tiempo real en las que los análisis podían analizar documentos en busca de posibles problemas relacionados con los pagos a terceros. Aunque el fabricante puede operar en muchos mercados de alto riesgo donde las empresas estadounidenses no pueden, como Irán, hacerlo puede poner en peligro su negocio en Estados Unidos; siendo este el caso, el equipo de adquisiciones necesita tener información que garantice que no realiza pagos a empresas en la lista negra. El tablero está programado para darles un aviso para que puedan tomar medidas preventivas.
Cuando dos grandes fabricantes de automóviles se fusionaron, por ejemplo, y necesitaban examinar la red global combinada de distribuidores y proveedores externos, PwC trabajó con ellos para construir una solución de tecnología de gestión de riesgos que estandariza y personaliza el proceso de incorporación y realiza la debida diligencia. La herramienta puede extraer datos de Internet para detectar, por ejemplo, si un proveedor ha sido puesto en una lista de «no participar» o es objeto de cualquier acusación de corrupción.
Subestimar el riesgo estratégico es una de las principales causas de destrucción de valor para los accionistas, pero basar las decisiones de riesgo y cumplimiento en el aprendizaje automático puede afectar dramáticamente a todas las áreas, desde las ventas y el marketing hasta las finanzas. Puede conducir a ofertas de mayor calidad para la fuerza de ventas con menos descuentos. Puede conducir a mayores niveles de servicio y una mejor satisfacción de los socios. Puede generar confianza a través de toda la cadena de valor. La nueva importancia que las autoridades fiscales están dando a un análisis sólido de los datos de cumplimiento probablemente estimulará la inversión en estas tecnologías, pero el mensaje es que no son simplemente una defensa. Pueden ser una parte integral de la toma de decisiones estratégicas.
«El análisis puede ayudarlo a evaluar y administrar el riesgo, pero la parte más difícil no es recopilar los datos, es tomar la acción», dijo Gibson. «La asociación con el resto del negocio es la clave para lograrlo».» Con las autoridades esperando ahora explícitamente que las empresas recopilen los datos y utilicen análisis, aquellos que sean los primeros impulsores en este espacio disfrutarán de ventajas significativas.