Laura Mafud Editora
En los últimos tiempos, el entorno en el que operan las empresas cambió de manera radical. Las regulaciones se modifican constantemente, los gobiernos imponen sanciones a operaciones en distintos países y la inteligencia artificial —además de ser una herramienta de prevención— se convierte también en un vector de riesgo. Sobre ese trasfondo, el compliance dejó de ser una función de control formal para convertirse en una disciplina estratégica.
"Estamos en un entorno totalmente distinto al de hace 30 años", dice Leandro Dores, socio líder de la práctica de Servicios de Integridad e Investigaciones de EY Argentina. "Ya no es el riesgo regulatorio como en el pasado, sino riesgos de reputación relacionados con la anticorrupción, la prevención del lavado de activos, la protección de datos personales, riesgos relacionados con el medio ambiente, con las comunidades y con el acoso en el ambiente laboral".
A esa multiplicidad de frentes se suma la velocidad del cambio. "Hay más movimiento en el día a día", señala Dores. Y los efectos son concretos: según el reporte de la Asociación de Examinadores de Fraude Certificados (ACFE) que cita el especialista, América Latina es la segunda región con mayor incidencia de fraude y corrupción, con el 61% de los casos vinculados a corrupción y una pérdida mediana de US$ 200.000 por evento.
Los riesgos ya no llegan de forma aislada
Uno de los cambios más profundos que describen desde EY Argentina es la naturaleza interconectada de los riesgos actuales. "Los riesgos no llegan de manera aislada", explica Luciano Badaracco, director ejecutivo de la práctica de Compliance e Investigaciones de EY Argentina, "sino que uno puede enfrentar situaciones que tienen una multiplicidad de factores de riesgo que requieren el conocimiento de las distintas áreas, jugadores, políticas o procedimientos que cada uno llega a tener".
Esta complejidad sistémica tiene una consecuencia directa sobre los equipos de compliance: ya no es posible operar desde el conocimiento de una sola disciplina. "Lo que estamos viendo hoy es que se requieren muchos sombreros de conocimiento para entender distintas áreas de riesgo", describe Badaracco. “Hoy no solo pasa por el cumplimiento formal de la política, sino por conocer el negocio y a los terceros con los que se trabaja”.
Dores completa el panorama con una advertencia sobre los límites de los mapas de riesgo tradicionales: “No es como en el pasado, que era un mapeo de riesgos más estable o estático por bastante tiempo. Ya no alcanza con tener un mapa de riesgos como un simple estándar o template. Hay que entender los riesgos, analizar las operaciones y estar conectados con el área legal, auditoría, negocios, tecnología y finanzas”.
La IA generativa: del riesgo abstracto al fraude concreto
Si algo aceleró la conversación sobre compliance en los últimos años, es el avance de la inteligencia artificial generativa. Y no solo como herramienta de prevención: también como vector de fraude sofisticado y escalable.
"Los volúmenes de datos y la inteligencia artificial empiezan a jugar un rol muy fuerte en todo lo que tiene que ver con la generación de riesgos", advierte Dores. “Obviamente también funcionan como herramienta para prevenirlos, pero actúan mucho más rápidamente para generar riesgos”.
La ambigüedad entre lo real y lo sintético es hoy uno de los desafíos centrales. "Estamos en un entorno mucho más ambiguo donde es muy difícil discernir qué es real y qué es sintético digital", dice Dores. “Vemos videos con cantantes que tienen voces humanas y generan resultados virales en TikTok, y son inteligencia artificial pura”.
Más allá de los ejemplos culturales, las implicancias para el mundo corporativo son directas. Hoy ya se observan casos donde estas herramientas permiten replicar el tono de un ejecutivo en un email, simular instrucciones de pago y construir identidades y conversaciones prácticamente indistinguibles de las reales. Los deepfakes, las identidades sintéticas y la documentación alterada son hoy patrones de fraude que los equipos de compliance deben saber identificar —y para los que las herramientas de detección tradicionales suelen llegar tarde.
"El desafío ya no es la falta de controles, sino controles diseñados para un entorno más simple y estable que el actual", sintetizan desde EY.
El riesgo, además, opera en ambas direcciones. El mal uso de tecnología disponible dentro de la propia organización también puede generar daño. "Vemos compañías que incentivan el uso de nuevas tecnologías porque es lo que demandan el público y los stakeholders, pero cometen errores como la filtración de códigos o datos personales sensibles", señala Dores. “El mal uso de la tecnología puede tener un impacto muy significativo en la reputación”.
Cuando el riesgo se transforma en controversia reputacional
La conexión entre riesgo operativo y reputación es uno de los ejes que atraviesa toda la conversación con los especialistas de EY. Y no se trata de una amenaza teórica: cuando los controles llegan tarde, el daño escala.
"Cuando el evento sale de la compañía, empieza a tener costos más altos de los pensados inicialmente", advierte Dores, con un ejemplo ilustrativo: “Imaginemos una empresa de ciberseguridad que es víctima de un ataque, o una empresa de desarrollo que filtra código sensible de su cliente en las redes por no utilizar correctamente las herramientas”.
Esa dinámica de escalada funciona en la práctica. Lo que empieza como una alerta puede derivar en una investigación compleja, un conflicto contractual, una disputa o controversia que exige explicaciones hacia adentro y hacia afuera. En ese punto, el impacto deja de ser operativo y pasa a ser reputacional.
Esta transformación del riesgo tiene implicancias concretas sobre cómo se investigan los incidentes y qué capacidades se necesitan para responder. "Una vez que ocurren los incidentes, la tecnología nos ayuda a investigar y a recopilar información sólida y fácil de demostrar ante el directorio o terceros, para explicar qué pasó, qué efectos tuvo y cómo se mitigará para prevenir que vuelva a suceder", explica Badaracco. Lecturas objetivas de los hechos, análisis estructurado de información compleja y evidencia sólida para sustentar decisiones ante el board son hoy capacidades críticas —no opcionales— para cualquier organización que quiera gestionar controversias de forma profesional.
La buena noticia, dice Badaracco, es que bien gestionadas, estas situaciones pueden fortalecer a la organización, ya que impulsan mejores prácticas, mayor trazabilidad y decisiones más estructuradas.
América Latina y Argentina: mayor exposición, detección más tardía
La apertura de la Argentina a nuevos mercados e inversores agrega una capa adicional de complejidad. Entender las normativas de otros países, homologar estándares de protección de datos con Europa o incorporar exigencias como las líneas de denuncia obligatorias son preguntas que las áreas de compliance deben responder en un entorno de cambio permanente.
"Antes, un negocio lanzaba un producto, pasaba por una cadena de distribución física con distintos distribuidores hasta llegar al consumidor final", ilustra Dores. “Hoy un producto sale en una plataforma de comercio electrónico y se vende a todo el mundo. Si esto no se controló efectivamente y el área de Compliance no participó en el diseño, se pueden generar problemas”.
En América Latina, el patrón de riesgo tiene características propias. La región presenta fuerte interacción con terceros, esquemas que combinan conflictos de interés y presión del contexto, y detecciones tardías con alto impacto reputacional. El riesgo suele estar distribuido a lo largo de la red de relaciones, no concentrado en un punto específico.
En Argentina en particular, la dinámica del negocio —presión económica, renegociaciones constantes y cadenas de terceros extensas— genera zonas grises donde prácticas excepcionales se normalizan. “En ese entorno, el riesgo no irrumpe: se filtra. Y cuando emerge, lo hace como un problema de compliance o reputación”.
El punto ciego: los terceros
Uno de los principales puntos ciegos de las organizaciones sigue siendo el riesgo que entra por los terceros. "Uno puede tener muy conocido y controlado el ambiente interno, pero los terceros también ayudan a la cadena de valor y aportan al negocio. Conocerlos es fundamental, así como capacitarlos para que trabajen bajo las mismas reglas de juego de la organización", señala Badaracco.
La detección tardía tiene costos altos. "Hoy, en promedio, la detección de un fraude o una situación indebida puede tardar hasta 12 meses", advierte Badaracco. Cuando hay terceros involucrados, el impacto económico y reputacional se amplifica: los casos más costosos suelen involucrar colusión, y muchas compañías tienen controles internos robustos pero menor visibilidad sobre proveedores, agentes o intermediarios.
Los canales de denuncia bien implementados —abiertos también a terceros, con protección garantizada al denunciante y con seguimiento real— son uno de los instrumentos más eficaces. "Muchas veces no se trata solo de tener una política formal o un proceso; si no está bien implementado o comunicado, falla", explica Dores.
El alcance del canal importa: debe estar abierto a terceros. Si queda solo dentro de la compañía y un empleado de un proveedor de logística ve algo y quiere dar una pista, si no está abierto a terceros, es muy probable que no sea efectivo.
Cultura y tecnología: las dos patas del sistema
El diagnóstico de ambos especialistas coincide en que la respuesta no es tecnológica ni cultural por separado, sino la combinación de ambas. "Si no tenemos un paraguas de cultura que determine el tono de la organización sobre qué está bien, qué está mal y cuáles son los límites, es muy difícil establecer un decálogo de todos los errores que uno puede cometer", dice Dores.
Al mismo tiempo, la tecnología es indispensable para monitorear volúmenes de datos que ningún equipo humano puede procesar manualmente. Las investigaciones hoy requieren analizar grandes volúmenes de datos, comunicaciones y transacciones. Herramientas como data analytics, e-discovery y soluciones forenses basadas en IA permiten identificar evidencia de forma más rápida y consistente. "La tecnología no solo ayuda a prevenir, sino también a detectar a tiempo. Nos permite ser más rápidos, más eficientes, mejores y más consistentes", suma Badaracco.
La tecnología, sin embargo, no reemplaza el criterio humano: lo que define es quién llega antes —o después— a la evidencia.
El desafío mayor para los líderes de las organizaciones, según Dores, es sostener una cultura de integridad en un contexto donde los equipos son híbridos y parte de las decisiones las toman —o las procesan— sistemas de inteligencia artificial. “El desafío es generar ese liderazgo de integridad, que es el paraguas que protege ante el desfase entre la velocidad de la innovación y la posibilidad de establecer controles o procesos efectivos”.
Dores lleva la reflexión un paso más allá: “En general, el desafío para la dirección de las compañías es cómo reforzar la cultura en un entorno donde habrá agentes de inteligencia artificial que, finalmente, estarán respaldados por personas que les darán contexto y un marco de referencia. Ya no estará la observación humana viendo cómo reaccionan los líderes ante una situación”. En ese contexto, la cultura de integridad deja de ser un valor declarativo para convertirse en el único mecanismo que puede cubrir los vacíos que los controles formales todavía no alcanzan.
El nuevo perfil del líder de compliance
El rol del compliance officer también está en transformación. Ya no se trata de velar por el cumplimiento formal de políticas, sino de operar como articulador entre el negocio y los distintos frentes de riesgo.
"Es imposible pensar que una compañía transnacional que realiza millones de transacciones por día pueda ser controlada y monitoreada efectivamente sin tecnología", señala Dores. Pero el punto no es solo incorporar herramientas: “es cómo será el gobierno de esa tecnología, cómo se controlarán los datos, y cómo se evaluarán, monitorearán y auditarán los resultados”.
En ese nuevo perfil, el upskilling es central: comprender IA, automatización y nuevas herramientas no solo para detectar riesgos, sino para participar en decisiones estratégicas. El rol se parece cada vez más al de un director de orquesta: conectar negocio, tecnología, legales, auditoría y reputación.
La pregunta que orienta ese nuevo rol ya no es "¿tenemos políticas?", sino algo más exigente: "¿Tenemos las capacidades, la coordinación y la visibilidad para prevenir, detectar y responder?"
Ese, dicen Dores y Badaracco, es el cambio que hoy marca la diferencia.