by Juan Manuel González | May 23, 2022 | Noticias
En 2017, el Gobierno brasileño formalizó su solicitud de acceso a la Organización para la Cooperación y el Desarrollo Económicos (“OCDE”), buscando promover el desarrollo económico y atraer inversiones extranjeras al país. Posteriormente, en enero de 2022, la OCDE envió la carta de invitación para incorporarse a la entidad a Brasil, iniciando así el proceso de potencial adhesión del país a este organismo. Sin embargo, la entrada de Brasil en la OCDE no es segura y el tema de la lucha contra la corrupción se muestra central en la evaluación de las organizaciones internacionales.
El 9 de marzo de 2022, Transparencia Internacional (“TI”), una organización anticorrupción sin fines de lucro que opera en más de 100 países, denunció los retrocesos en la lucha contra la corrupción en Brasil, enviando el Informe a la OECD Anti-Bribery Working Grupo “Brasil: Retrocesos en los Marcos Legales e Institucionales Anticorrupción” (“Informe”). El Informe complementa denuncias anteriores realizadas por TI en los últimos 2 años, así como proporciona evidencia sobre la pérdida de independencia y el aumento de la injerencia política del Gobierno Federal de Brasil en los órganos anticorrupción, como la Fiscalía General, la Policía Federal, Consejo de Control de Actividades Financieras – COAF, entre otros.
El Informe también señala retrocesos en el marco regulatorio e institucional para combatir la corrupción en Brasil y hace recomendaciones dirigidas tanto a la OCDE como a las autoridades brasileñas, con el objetivo de revertir este escenario. El Informe surge a raíz de la creación por parte de la OCDE, en marzo de 2021, de un grupo de seguimiento permanente sobre el tema en Brasil, una medida hasta ahora inédita.
Consultado por BBC News Brasil cuando se creó el grupo permanente si las actuales prácticas brasileñas anticorrupción estarían en línea con los parámetros de la OCDE, Drago Kos, jefe del Grupo de Trabajo Antisoborno de la entidad, dijo lo siguiente: “Si hubiera hecho esta pregunta hace unos años, mi respuesta habría sido un rotundo ‘sí’. Hoy simplemente no sé: si bien la Operación Lava Jato nos dio información tan positiva sobre la capacidad de Brasil para combatir la corrupción nacional e internacional, hoy parece que algunos de los procesos iniciados en 2014 están retrocediendo”.
Si bien la membresía es una voluntad y una prioridad del actual Gobierno brasileño, el ingreso a la OCDE puede verse amenazado por el incumplimiento de los parámetros mínimos de ingreso. En esa línea, el Informe advierte que, en 2022, Brasil será instado a cumplir con los compromisos anticorrupción y enfrentará las consecuencias derivadas del incumplimiento, ya que deberá pasar por tres procesos formales de revisión: (i) verificación de la implementación de la Convención de las Naciones Unidas contra la Corrupción; (ii) la evaluación del Grupo de Acción Financiera Internacional (GAFI); y (iii) el Monitoreo Antisoborno de la OCDE.
En palabras de Bruno Brandão, director ejecutivo de TI: “(…) Brasil puede revertir estos graves retrocesos en la lucha contra la corrupción y en la defensa del medio ambiente, ya que solo recientemente fue reconocido como un ejemplo de progreso en estos dos zonas. . Estos son temas prioritarios para la comunidad internacional, a los que el país debe prestar mucha atención en sus objetivos de inserción global”.
En respuesta a la situación denunciada anteriormente, el Gobierno Federal se expresó a través del Oficio de la Casa Civil, informando que Brasil estaba adoptando varias medidas para fortalecer y mejorar la lucha contra la corrupción y mencionó, a modo de ejemplo, el Plan Anticorrupción. 2020-2025, que prioriza 142 acciones en áreas como lucha contra el lavado de dinero, control interno, ética pública, gestión y gobierno, integridad, medidas tributarias, prevención de conflicto de interés, recuperación de activos, rendición de cuentas de personas físicas y jurídicas, y transparencia y control social, entre otros.
Finalmente, el Gobierno brasileño reforzó que está comprometido con el proceso de ingreso a la OCDE y que es el país no miembro que más se adhiere a los instrumentos de la entidad, habiéndose adherido a 99 de los 245 instrumentos -lo que representa un crecimiento del 50% en ambos primeros años de gobierno.
Esperemos las escenas de los próximos capítulos, esperando que este sesgo negativo que dio origen a los movimientos de la OCDE y TI, sea revertido con acciones concretas no solo del Gobierno Federal, sino también de todos los demás miembros del poder ejecutivo, legislativo y ramas judiciales. Si el escenario actual no se revierte, existen posibilidades reales de que el “sueño” de Brasil de ingresar a las filas de la OCDE se frustre, por cierto, merecidamente.
Para mayor información contactar a:
Eloy Rizzo | Socio Demarest en el área de Compliance e Investigaciones | erizzo@demarest.com.br
Cláudia Massaia | Abogada Senior Demarest en el área de Compliance e Investigaciones | cmassaia@demarest.com.br
Victória Molina | Abogada Junior Demarest en el área de Compliance e Investigaciones | vmolina@demarest.com.br
by Juan Manuel González | May 20, 2022 | Noticias
En los últimos años, se ha generado una creciente atención hacia la responsabilidad de las empresas sobre el impacto que estas pueden tener en el ambiente, las comunidades donde operan, con sus socios comerciales, su cadena de producción, con sus trabajadores y en general con la sociedad, es decir, existe una tendencia que busca superar el principio que ha regido a los mercados durante los últimos 50 años que establece que el propósito de existencia de la sociedades es buscar el beneficio de sus accionistas a través de la generación de ganancias, esto limitado únicamente por las reglas sociales básicas y el marco legal y en su lugar hacer a las empresas responsables no solo frente a sus accionistas por sus resultados financieros sino también frente a los grupos de interés que son impactados de manera positiva o negativa por la empresa. A estos grupos de intereses se les conoce como “Stakeholders”.
Como resultado de esta transición de visión empresarial antes mencionada, los principios ESG han tomado gran importancia a nivel mundial ya que, si bien los temas ambientales y de impacto social no son nuevos, la visión al amparo de estos principios busca incorporar dentro de las empresas el análisis de los riesgos ambientales, sociales y de buen gobierno corporativo que cada una de ellas enfrenta y de igual forma busca descubrir las oportunidades que este cambio de paradigma puede presentarles.
Con base en lo anterior, a continuación, se realiza un análisis desde de la perspectiva legal y de cumplimiento respecto a las implicaciones y los retos que las empresas tendrán que enfrentar para implementar estos principios en su estructura corporativa y realizar los cambios necesarios para adaptarse a las exigencias de mercado en cuanto a la atención de estos temas.
ESG dentro de las Empresas
Como primera tarea, las empresas deben considerar la forma y alcance que ESG tendrá dentro de su organización, para lo cual tendrán que determinar su estado actual de cumplimiento en esta materia y esto se logra únicamente a través de un análisis transparente y honesto en el que se deberá detectar tanto lo que la empresa hace de manera correcta como aquellos puntos que necesitan ser atendidos y corregidos, siendo uno de los puntos esenciales en este análisis la determinación de los riesgos ESG que más adelante serán discutidos.
Una vez que la empresa ha determinado quienes son sus Stakeholders, sus afectaciones e impacto externo, así como las modificaciones que debe realizar dentro de sus operaciones, es necesario que estos puntos sean descritos en un Plan Director de Sustentabilidad en el que además de los objetivos que la empresa desea alcanzar en materia de ESG, se deberán incluir las métricas y parámetros que la empresa utilizará para determinar el nivel de avances y cumplimiento de estas metas.
La elaboración del Plan Director de Sustentabilidad de igual forma permite a las empresas conocer y medir sus riesgos de transición en materia de ESG, es decir, cuáles son los principales riesgos y obstáculos que la empresa enfrentara para su implementación.
Dentro de estos riesgos, los más importantes a considerar son aquellos que pueden derivar de la creación de leyes, regulación tanto operativa como impositiva que genere por la necesidad de dar cumplimiento a estas normas costos o inversiones adicionales en activos más ecológicamente amigables, los riesgos por avances tecnológicos que afecten la competitividad de las empresas que no cuenten con medios para competir con otras empresas que presten servicios similares pero con mejor tecnología y los riesgos derivados de afectaciones ambientales, incluyendo el cambio climático.
En virtud de lo anterior, también se ha generado la necesidad de tomar en cuenta estos riesgos para el desarrollo de los negocios de cada una de las empresas con terceros, para lo cual es necesario incluir ciertas protecciones y garantías en los convenios, acuerdos o contratos que celebren con sus proveedores y clientes para la mitigación de sus riesgos.
Si bien los riesgos son muy diversos y afectan de manera diferente a cada empresa, consideramos que los puntos generales que deben considerarse son los siguientes:
Mitigación de riesgos por impacto climático. Incendios, bajas de temperaturas, inundaciones o sequias, entre otros, pueden tener un impacto importante en la cadena productiva de una empresa derivado de los posibles incumplimientos de sus proveedores para producir o entregar materia prima, equipo o productos, por lo que es necesario que las empresas acuerden con sus proveedores los términos, condiciones y procesos que serán aplicables en caso de que se genere alguno de estos eventos afectando la relación comercial, incluyendo reservas, facilidad de buscar asistencia de terceros o seguros que permitan cubrir los daños que pudieran causarse.
Implementación de ESG. Como se ha comentado, las empresas deben de determinar sus prioridades, Stakeholders y riesgos ESG, sin embargo errores durante el análisis y determinación de estos puntos pueden generar pérdidas financieras y por tanto incumplimiento a las obligaciones asumidas por la empresa por lo que será necesario establecer garantías y salvaguardas en los contratos que se celebren con los proveedores, además de establecer un sistema de análisis previo para determinar los riesgos que la contratación de determinado proveedor puedan generar, esto a través del establecimiento de una auditoria o revisión legal de cumplimento de ESG a la cual dichos proveedores deberán someterse.
Riesgos por avances tecnológicos. Sobre todo en aquellos contratos con una vigencia prolongada, es probable que los medios tecnológicos que se estén utilizando actualmente sean sustituidos por una tecnología superior o más amigable con el ambiente, por lo que es necesario que las empresas establezcan en sus contratos la posibilidad de modificar ciertas condiciones del mismo y de cierta forma requerir a sus contraparte la adopción de estas tecnologías en la medida de lo posible, dando cierta flexibilidad para modificar los términos de los contratos.
Riesgos de incumplimiento en materia de ESG dentro de la cadena productiva. Una de las principales problemáticas con las que se enfrentan las empresas es la violación a sus políticas ESG por parte de sus socios comerciales o integrantes de sus cadenas productivas. Esto puede verse de manera clara en las empresas que llevan a cabo la producción de bienes, o la obtención de sus materias primas de países en vías de desarrollo en los que existe falta de regulación o control por parte del gobierno local en cuanto a temas de explotación laboral, violaciones a derecho humanos, de menores o prácticas que afectan al ambiente. Es por esto que es de suma importancia que las empresas deberán comunicar de manera clara a sus proveedores y sus clientes sus principios, políticas y procedimientos en temas de ESG y cuáles son sus expectativas de cumplimiento, lo cual deberá quedar plasmado en los convenios, acuerdos o contratos que las empresas celebren.
Por su parte, consideramos que también es importante mencionar cuáles son los beneficios que pueden obtener las empresas por la implementación de principios ESG.
Llevar a cabo la revisión legal para para determinar quiénes son los “stakeholders”, las prioridades de la empresa en materia de ESG y los riesgos que esta tiene, permite aplicar los recursos de la empresa de manera adecuada para prepararse para eventualidades que puedan surgir.
En vista de que uno de los principales impulsores de ESG son los mismos clientes que ahora más que nunca se fijan en el desarrollo y compromiso de las empresas respecto a su responsabilidad social, el conocimiento de estos factores y de las exigencias de los clientes puede dar la ventaja competitiva a las empresas que tengan un adecuado manejo de los mismos.
Por su parte también los empleados han comenzado a tomar conciencia de estos factores para decidir si ingresan y se mantienen dentro de una empresa u organización, por lo que aquellas empresas que consigan implementar estos principios ESG dentro de su estructura y cultura laboral se verán beneficiados con una mayor retención de talento.
Uno de los principales sectores que ha impulsado la adopción de los principios ESG es el financiero, un buen ejemplo de esto es BlackRock, quienes mencionan que los preceptos ESG son cruciales para la continuidad de los negocios a largo plazo2, es por ello que uno de los beneficios más notables resulta en que los grandes inversionistas y gestores de cartera toman en cuenta el nivel de cumplimiento de las empresas en materia de ESG como uno de los factores que puede determinar si se llevará a cabo una inversión en una empresa o sector determinado.
Como conclusión podemos mencionar que los principios y criterios ESG dentro de las organizaciones tomarán cada vez más importancia por lo que las empresas que logren adaptarse y llevar a cabo una adecuada implementación de los mismos serán los que prosperen en el largo plazo.
Para mayor información contactar a:
Juan José López de Silanes | Socio Basham, Ringe y Correa | lopez_de_silanes@basham.com.mx
Gerson Vaca Avendaño | Basham, Ringe y Correa | gvaca@basham.com.mx
by Juan Manuel González | May 18, 2022 | Noticias
En Bolivia no existe normativa expresa que obligue a las empresas a contar con un Código de Ética. Sin embargo, y al igual que en otros países, el código de ética es una herramienta que engloba los valores corporativos, las obligaciones y las responsabilidades éticas de una organización, y la forma en la que se desarrolla, en un solo documento. Además, es un instrumento que orienta a los empleados sobre cómo manejar situaciones que plantean posibles conflictos y buscar alternativas de acción apropiadas. Para ser efectivos, estos códigos deben reflejar las características de la organización en particular, y el contexto de las relaciones y el entorno comercial en el que opera la empresa.
En Bolivia, el artículo 8 de la Constitución Política del Estado establece, asume y promueve principios ético-morales de la sociedad plural, además de los principios y valores bajo los que se sustenta el Estado boliviano.
Bajo esos principios, tanto empresas privadas, como entidades públicas en Bolivia han elaborado códigos de ética que dirigen su actuar, así como el de sus funcionarios, según su actividad.
Por otro lado, la Ley de Prácticas Corruptas en el Extranjero (Foreign Corrupt Practices Act, o “FCPA”, por sus siglas en inglés), cuyo objetivo es, entre otros, el de establecer principios de ética para evitar corrupción institucional en los negocios llevados a cabo por empresas americanas, sus subsidiarias, o aquellas que cotizan en la bolsa de Estados Unidos, en el extranjero; así como determinar reglas para que los empresarios actúen éticamente en las contrataciones que realizan fuera de dicho país.
De conformidad a esta norma, las empresas que buscan hacer negocios de manera legal y ética en un país extranjero, deben contar con un programa de Compliance diseñado para detectar y prevenir actos de corrupción. Los principales beneficios de un buen programa de Compliance es el de reducir el riesgo de que los empleados de una subsidiaria extranjera infrinjan la ley debido a ignorancia o por la creencia errónea de que pagar sobornos traerá beneficios para la empresa. Adicionalmente, en caso de que una persona pague un soborno, a pesar de los mejores esfuerzos de la empresa, el Código de Ética y un buen programa de Compliance, deberán servir como prueba y guía de la medidas que fueron adoptadas por la compañía.
El incumplimiento de esta normativa extranjera así como de los programas de Compliance, pueden llevar a sanciones económicas a las empresas que se encuentran alcanzadas por el FCPA.
Tanto un programa efectivo de Compliance, como un Código de Ética, hacen o forman parte de la cultura organizacional de una empresa, en donde el primero indica el camino para no ir en contra de las regulaciones, y el segundo establece lineamientos de comportamiento dentro y fuera del ambiente laboral.
Tanto las instituciones públicas, como privadas, deben estar orientadas a cumplir con objetivos colectivos en base a las normas de cada país, y debe elaborar normas y procedimientos internos que permitan desarrollar al personal que compone la organización, en base a los valores que la misma institución promueva.
A su vez, estos programas de Compliance y Códigos de Ética deben estar a disponibilidad de todas las áreas y personal de la organización.
Los pilares de un negocio exitoso son el desarrollo de una cultura de ética, donde los funcionarios conozcan los valores que promueven la actividad de la institución, y los principios que guían su conducta.
En este sentido, el personal debe estar capacitado y orientado a cumplir con las obligaciones coactivas (leyes, normas y reglamentos) y no coactivas (código de ética).
Para mayor información contactar a:
Carla Arellano | Consejera Ferrere | carellano@ferrere.com
by Juan Manuel González | May 16, 2022 | Noticias
Ha quedado de manifiesto que el Compliance hoy cumple un rol decisivo en el desarrollo de los negocios. Contar con una cultura de cumplimiento se vuelve una herramienta efectiva para los efectos de reducir costos, aumentar los ingresos y, por supuesto, disminuir las contingencias legales.
Ahora bien, los efectos positivos de un programa efectivo de Compliance son aún más manifiestos en materia de Derecho del Consumo, pues ya no solo se analiza la manera de cumplir la normativa, sino además, de adaptar mi negocio a uno que sea mucho más atractivo tanto para los consumidores, como para los actores del mercado respectivo.
Así, en Chile ha existido un continuo avance en materia de Compliance en Derecho del Consumo desde la entrada en vigencia de la Ley N° 21.081. denominada “Ley de Fortalecimiento del Servicio Nacional del Consumidor (“SERNAC”)”. a principios de año 2019, normativa que modificó la Ley N° 19.496 sobre protección de los derechos de los consumidores (“LPDC”).
Las principales novedades introducidas por esta nueva norma no solo daban cuenta de un cambio de paradigma en materia de protección de los Derechos de los Consumidores y las potestades de la autoridad encargada de asegurar su respeto y supervigilancia, sino además, estableció nuevas instancias negociadoras entre dicha autoridad y los proveedores, estos últimos incluso tendrían la facultad de preparar y presentar Planes de Cumplimiento relacionados a la materia en cuestión.
En este sentido, las nuevas instancias negociadoras denominadas Procedimientos Voluntarios Colectivos (“PVC”), permitieron a las empresas no solo evitar graves sanciones en caso de verificarse infracciones a la Ley de Protección de los Consumidores, sino también corregir su modelo de negocios por medio de acuerdos concretados ante la misma autoridad.
Los PVC son uno de los mecanismos más utilizadas por la autoridad para los efectos de promover el cumplimiento de la normativa de consumo, sobre todo en aquellos casos donde existe un gran número de consumidores afectados. Esta negociación permite a las empresas conocer los criterios y márgenes que la autoridad ostenta y aplica en el ejercicio de sus potestades interpretativas y fiscalizadoras. Así, el inicio de un PVC, si bien es una contingencia para las empresas, también es una verdadera oportunidad para mejorar considerablemente su cultura de cumplimiento.
Es decir, ¿qué mayor oportunidad existe para una empresa que sea la propia autoridad quien apruebe las medidas conductuales destinadas a subsanar infracciones? El precedente administrativo que genera dicho acuerdo es de suma importancia, en cuanto otorga la legítima confianza al proveedor de estar actuando conforme a Derecho y con el respaldo de la propia autoridad.
No olvidar que la reputación de las empresas es un intangible de suma relevancia, y más aún en materia de Derecho del Consumo, donde los consumidores confían en que las empresas actúan dentro del margen de profesionalidad que la ley les exige. De esta forma, la confianza que genera estar actuando conforme a derecho, no solo tendrá efectos directamente en la cultura de la empresa, sino en sus consumidores, sus grupos de interés y los demás actores del mercado.
Revisando las páginas oficiales de la autoridad se advierte que ya son más de 17 las empresas que se han aceptado participar en un PVC y han obtenido un término favorable del acuerdo con el SERNAC. Así, dichas empresas podrían sostener fácilmente en cualquier instancia o procedimiento que las medidas adoptadas y acordadas con la autoridad dan cuenta que estas son idóneas para los efectos de tener por subsanadas las eventuales infracciones que habrían originado el PVC. Así, lo anterior es una evidente oportunidad para que las empresas obtengan la aprobación de su modelo de negocios ante el organismo encargado de fiscalizarlas.
Dentro de las principales conductas que han motivo el inicio de PVC’s se encuentran: (i) Seguridad en el consumo de bienes y servicios, (ii) Entrega de información veraz y oportuna a los consumidores, (iii)Cancelación/modificación unilateral de contratos, e (iv) Incumplimientos de los términos y condiciones contractuales.
Finalmente, es menester señalar que la ley además permite a las empresas ofrecer un Plan de Cumplimiento dentro del marco negociador del PVC, cuyo objeto será asegurar la efectiva implementación de los términos del acuerdo y, por supuesto, una oportunidad para materializar su cultura de cumplimiento a lo menos respecto a determinadas infracciones.
A mayor abundamiento, si bien el plan de cumplimiento no es requisito para los efectos de declarar el termino favorable de un PVC en conformidad al artículo 54 P de la LPDC, no debe sorprendernos que en casi el 100% de los acuerdos terminados de manera favorable exista el compromiso de los proveedores de diseñar un plan de cumplimiento para asegurar su efectiva implementación.
Por Gonzalo Bravo Valenzuela, asociado Derecho Público y Mercados Regulados en Albagli Zaliasnik.
Para mayor información puede contactar a:
Rodrigo Albagli | Socio Albagli-Zaliasnik | ralbagli@az.cl
by Juan Manuel González | May 13, 2022 | Noticias
Hoy es posible identificar, entre los centros internacionales que ofrecen y promueven estándares de gobierno corporativo, cierto consenso sobre la pertinencia de que, en los arreglos de gobierno, se incluyan medidas que garanticen la existencia y funcionamiento de mecanismos efectivos de identificación y administración de los riesgos a los cuales se exponen las organizaciones en el desarrollo de sus negocios. Ese consenso se extiende a que dichos mecanismos debieran ser liderados por la junta directiva y la alta dirección de la organización.
En 2014, la Organización para la Cooperación y el Desarrollo Económicos (Ocde) publicó el reporte “Gestión de Riesgos y Gobierno Corporativo” y, en él, da cuenta de que, para esa época y en las jurisdicciones evaluadas, los mecanismos de control interno y de auditoría adoptados en los esquemas de gobierno corporativo encontraban en el enfoque “ex post” un lugar común lugar común en las jurisdicciones evaluadas.
En dicho reporte se echó de menos una aproximación “ex ante” a dicha a la gestión de riesgos empresariales, es decir, una en la que, además de aplicar una metodología comprensiva para identificar los riesgos a los que está expuesta la organización y los impactos de dichos riesgos en ella, se pusieran en funcionamiento mecanismos de gestión y mitigación en los cuales, más que capturar la realización pasada de los riesgos y sus efectos, la organización condujera un análisis prospectivo para anticiparlos y definir políticas, procesos y procedimientos para su gestión y mitigación.
Igualmente, el reporte de la Ocde identificó un sesgo hacia los riesgos financieros, dejando en un lugar menos preponderante otros riesgos estratégicos y operacionales de la organización. Todo lo anterior sumado a una aproximación genérica y con un nivel poco minucioso, particularmente en aquellas organizaciones no financieras.
Sin embargo, ha pasado el tiempo y la regulación sobre la gestión de riesgos empresariales ha ganado terreno. Tal y como la misma Ocde lo registra enu el “Corporate Governance Factbook” publicado para 2021, este asunto ha sido uno de los campos regulatorios más dinámicos en los años recientes.Según la Ocde, las disposiciones legales que hacen mandatorio que las organizaciones empresariales asignen un rol efectivo de gestión de riesgos a los comités a nivel de junta directiva han aumentado del 62% de las jurisdicciones analizadas en el reporte en 2015 al 90% a fines de 2020. De hecho, anota la Ocde que la implementación de sistemas de gestión de riesgos ha pasado del 62 % al 96 % en el mismo periodo.
Dejando de lado a las entidades financieras y su experiencia en la implementación de modelos de gestión y control basado en riesgos, lenta pero progresivamente ese modelo de gestión basado en riesgos pareciera coronarse como aquel que un “buen hombre de negocios” debería implementar como parte de aquellos procedimientos técnicos que, al desempeñarse como administrador corporativo, lo protegen ante el escrutinio de su actuar a la hora de imputarle responsabilidad por el incumplimiento de sus obligaciones o la infracción de la ley.
Así, y como lo sostuvo en su momento el Committee of Sponsoring Organizations of the Treadway Commission – COSO-, hoy cada vez más se espera que los directorios asuman un rol de supervisión en relación con la efectiva administración de los riesgos corporativos[1].
A las presiones regulatorias sobre las juntas directivas para que se involucren en la supervisión de la planeación y la ejecución de la estrategia del negocio, en el seguimiento, medición y reporte de los compromisos en materia de asuntos ambientales, sociales y de gobernanza corporativa, en la gestión de los riesgos y efectos del cambio climático sobre la organización, en la gestión del riesgo del lavado de activos, la financiación del terrorismo, la proliferación de armas de destrucción masiva, los vectores de cumplimiento alrededor de controles de exportación y relacionamiento con sujetos y jurisdicciones sancionadas, a la gestión de los riesgos de salud y seguridad en el trabajo, se suma otro que viene ganando terreno regulatorio: la ciberseguridad.
Es ya un lugar común afirmar que la crisis de la COVID trajo consigo una aceleración de la digitalización de los negocios y de las interacciones de los agentes económicos en los procesos y procedimientos adoptados por las organizaciones empresariales para su operación. Esa realidad ha encontrado eco en las preocupaciones de la agenda regulatoria corporativa a nivel internacional, especialmente, en aquellas jurisdicciones que, tradicionalmente, y por su relevancia geopolítica, marcan la tendencia en estos asuntos.
Aunque como suele ocurrir estos movimientos regulatorios comienzan con demandas de revelación de información relevante por parte de los emisores de valores en el marco de las reglas de funcionamiento de los mercados de valores, esas exigencias rápidamente permean otros campos regulatorios. Resuena con un volumen creciente la idea de que la interconexión de las redes de comunicaciones, el empeño intenso en coleccionar datos y de que el uso creciente de herramientas analíticas y de procesos de inteligencia artificial se han acelerado sustancialmente y, con ello, han tomado forma riesgos que amenazan la privacidad, el funcionamiento de la infraestructura social sensible y, por supuesto, la seguridad nacional de los estados.
Esa resonancia se amplifica por el hecho cierto de que existen rentas alrededor de la monetización de incidentes de ciberseguridad, mercados negros de datos e información apropiados indebidamente y, además, que la digitalización sigue avanzando de manera acelerada con el uso de tecnologías criptográficas, mecanismos de procesamiento de pagos novedosos y, muy especialmente, la tercerización de procesos de tecnología y la demanda aun en aumento de servicios de computación en la nube que pone los activos tecnológicos en manos de terceros que luchan por ser confiables.
De esta forma, para los arreglos de gobierno corporativo sobre la gestión de riesgos el foco en la ciberseguridad es inevitable. Esa inevitabilidad ha generado consensos[2] sobre (i) la ciberseguridad es un factor estratégico para la adecuada operación de los negocios; (ii) es necesario que las organizaciones de negocio entiendan la incidencia económica y el impacto operacional de los riesgos en materia de ciberseguridad; (iii) es imperativo alinear la administración del riesgo de ciberseguridad con las necesidades del negocio; (iv) Se debe avanzar hacia diseños institucionales en las organizaciones de negocios para soportar las iniciativa en ciberseguridad; (v) es creciente la necesidad de incorporar en la alta dirección de las compañías conocimiento experto en materia de ciberseguridad; (v) es indispensable para el éxito de la gestión del riesgo se ciberseguridad empoderar la resiliencia de los sistemas y el ánimo colaborativo entre la jerarquía corporativa y los distintos grupos de interés.
Estos consensos, rápidamente, marcarán la técnica que los directores de las organizaciones de negocio deberán incorporar su marco analítico para la toma de decisiones. La regulación camina hacia la construcción de marcos normativos de gobierno de la ciberseguridad que, en el corto plazo, impondrán a las organizaciones de negocio, especialmente aquellas que operan en mercados de infraestructura crítica y aquellas que basan su modelo de negocio en tecnologías informáticas clave, mandatos de gestión explícita y de creación de ambientes y sistemas de identificación, seguimiento control y mitigación de riesgos de ciberseguridad.
Para ello, los sistemas de gobierno corporativo y compliance deberán considerar, desde hoy, incorporar herramientas[3] que permitan:
- Acopiar la mayor cantidad de información posible para establecer prioridades en esta materia, entender el estado del riesgo, identificar vulnerabilidades, identificar los valores que esas vulnerabilidades ofrecen a un eventual atacante y entender quién podría tener interés en atacar la organización y, de hacerlo, cómo llevaría a cabo dicho ataque.
- Priorizar el riesgo para asegurar una gerencia adecuada que debe ir más allá del cumplimiento formal, con una aproximación “ex post”, activa y prospectiva, que se actualice continuamente al ritmo de los progresos tecnológicos de la organización. Para ello, integrar la ciberseguridad a los procesos de administración y gestión es fundamental.
- Avanzar en acciones concretas para la gestión del riesgo de ciberseguridad a través de la promoción de la cultura de la ciberseguridad y la capitalización de experiencias propias y ajenas.
Por lo pronto, los administradores harán bien en:
- Asegurar la existencia de estructuras efectivas de manejo y reporte para facilitar su involucramiento activo en estos asuntos, el cual puede, entre otros, incluir evaluaciones e indicadores clave de producción periódica sobre el estado del riesgo y su mitigación.
- Considerar instruir a los ejecutivos de las organizaciones para que los mantengan adecuada y oportunamente informados sobre incidentes serios y relevantes, así como sobre sus impactos en la organización y su operación. De la misma forma, convendrá que se reciba información sobre las respuestas a dichos eventos y la efectividad de las medidas implementadas.
- Documentar en las actas de las reuniones de la junta directiva el involucramiento de esta última en estos asuntos.
Finalmente, en los diseños de los arreglos de gobierno corporativo, deberemos incluir, dentro de la planificación de las estructuras a adoptar, la asignación de la específica responsabilidad de estos asuntos, asegurando que, al menos, en alguno de los comités de trabajo de la junta directiva están las miras puestas en la ciberseguridad.
El riesgo ha sido invitado asiduo a la sala de juntas. Hoy, la ciberseguridad debe ser igualmente convocada a las reuniones.
[1] Enterprise Risk Management Integrating with Strategy and Performance. 2017
[2] Principles for Board Governance of Cyber Risk. Insight Report. World Economic forum. 2021.
[3] United Kingdom National Cyber Security Center. Cyber Security Toolkit for Boards. 2019.
Para mayor información, puedes contactar a:
Oscar Tutasaura | Socio Posse Herrera Ruiz | oscar.tutasaura@phrlegal.com