Estándares de compliance y metodologías de evaluación del riesgo
Los estándares de compliance no exigen una metodología especifica para identificar y evaluar la gestión de riesgos de compliance. Al contrario, la complejidad y variedad de los riesgos de compliance y la necesidad de adaptar el sistema a las características de cada organización, dejan al criterio de ésta establecer su método de evaluación de riesgos.
Ello no es obstáculo para que todos los marcos de referencia exijan que se identifiquen las actividades en que se puede incurrir en un riesgo de compliance y se establezcan unos criterios para evaluar el impacto y la probabilidad de ocurrencia del riesgo, así como la eficacia de los controles que se le apliquen.
Es recomendable acudir a alguno de los marcos de referencia existentes para la gestión del riesgos de compliance las organizaciones, como ISO 31000 o COSO, o combinar de forma razonada elementos de ambos, pero huir de metodologías “propias” elaboradas “ad hoc” por la organización que no estén debidamente contrastadas en la práctica.
Premisas a la hora de evaluar riesgos de compliance
Con independencia de la metodología que apliquemos existen tres premisas que siempre es recomendable aplicar:
SIMPLICIDAD- Es preferible diseñar un proceso de evaluación de riesgos simple y consistente con el tamaño de la organización.
PROGRESIVIDAD– Avanzando poco a poco, mediante un alcance más modesto en su primera implantación y un proceso de mejora continua posterior que vaya ampliando el foco de análisis y el detalle del proceso.
EFICACIA- Es siempre preferible que el diseño inicial sea simple, pero eficaz en la medida en que permite una adecuada evaluación de riesgos.
De la arbitrariedad a la subjetividad ponderada
Otra premisa importante tiene que ver con las especiales características de los riesgos de compliance, que en muchas ocasiones se fundamentan en una evaluación muy poco empírica, por la falta de antecedentes reales previos al análisis, y porque se trata de riesgos que no podemos ni deseamos experimentar. En este sentido, podemos afirmar que los riesgos de compliance tienen un componente altamente prospectivo, que puede incurrir en la arbitrariedad si su evaluación depende únicamente de la opinión del evaluador.
En la medida en que segmentemos los riesgos en diversos criterios de evaluación del impacto y la probabilidad, reducimos el margen de subjetividad del evaluador, y reducimos la arbitrariedad de su evaluación.
Criterios de graduación
En general, podemos graduar los criterios de evaluación de riesgo en
OBJETIVOS- Con ausencia de prejuicios e intereses personales y evaluados con independencia del criterio personal del evaluador, utilizando datos previos y reglas constatadas empíricamente. Este tipo de criterios son difíciles de utilizar en compliance, por los motivos ya expuestos y se utilizan fundamentalmente en análisis de riesgos físicos o naturales. (meteorología, electrónica, etc.)
DISCRECIONALES– Se establecen unos criterios objetivos de aproximación al análisis de riesgo, pero la decisión final queda sometida a la opinión de un experto, quien establece un valor basado en un prudente uso de su experiencia.
ARBITRARIEDAD- La evaluación se hace depender únicamente de la opinión o experiencia del evaluador, pero sin establecer unos criterios objetivos de aproximación o un fundamento razonado que permita conocer siquiera las razones para su evaluación.
A modo de ejemplo, no es lo mismo que la probabilidad de ocurrencia de un riesgo se determine por la simple opinión del evaluador como “muy probable, probable o poco probable”, que si tenemos en cuenta que el riesgo de ocurrencia puede ser mayor cuando estamos evaluando un riesgo que se puede producir en un área o proceso externalizado, que cuando el riesgo se puede producir en un área o proceso interno de la organización. En este segundo caso, también dependeremos de la opinión experta del evaluador, pero estamos acotando más el margen de error derivado de su discrecionalidad.
Definir el marco de gestión del riesgo
Los sistemas de compliance exigen la previa definición de un marco de gestión del riesgo que debe tener en cuenta en primer lugar las obligaciones de compliance aplicables a la organización, pero también es necesario establecer y analizar el contexto interno y externo de la organización que resulta relevante, y a través del cual extraeremos la información necesaria para identificar los riesgos de compliance.
Tal y como ya hemos explicado en este blog, los riesgos de compliance se identifican y evalúan con mayor precisión si hemos podido determinar previamente la obligaciones de compliance. El proceso de evaluación de riesgos es de gran utilidad también para determinar los objetivos de compliance, que en sus componentes mas tácticos y operativos son también controles que deberemos incorporar a nuestro marco de gestión de riesgos. En este artículo puedes encontrar más información para definir los objetivos de compliance.
Los aspectos mas habituales de la organización a considerar cuando se trata del establecimiento del contexto son los siguientes:
– El tamaño y estructura de la organización
– Las ubicaciones donde opera
– La naturaleza y complejidad de sus actividades y operaciones
– Entidades controladas y participadas no controladas
– Integrantes de la organización y socios de negocio
– Relaciones con funcionarios y miembros de órganos de supervisión
– Obligaciones de compliance: requisitos y compromisos de compliance
El marco de gestión debe operar siempre desde la consulta a la organización. Son los miembros de la organización quienes nos aportan los datos e informaciones precisas para definir y gestionar adecuadamente dicho marco.
Establecer el mapa de riesgos inherentes
A través del proceso de establecimiento del contexto deberemos poder identificar, analizar y evaluar el grado de impacto y probabilidad de los riesgos de compliance. Es frecuente que la primera evaluación no tenga en consideración los controles existentes en la organización, con el objetivo de obtener el llamado riesgo inherente, es decir el riesgo propio de la actividad de la organización sin tener en cuenta los controles aplicados.
Es habitual que este tipo de análisis de riesgo nos de como resultado uno o varios mapas de calor que permiten conocer de un modo grafico el nivel de riesgo inherente en que se desenvuelve la organización.
Evaluación de controles y mapa de riesgo neto
La identificación y evaluación de los controles existentes con carácter previo a la implantación del marco de gestión del riesgo nos ayuda a definir lo que llamamos riesgo neto, es decir, el riesgo que efectivamente afronta la organización en ese momento inicial.
Para definir el riesgo neto es necesario identificar y evaluar los controles que mantiene la organización y que pueden resultar útiles para la implantación del marco de gestión de riesgo. En esta primera evaluación debemos tener en cuenta especialmente aquellos controles pre existentes que no están diseñados e implantados para evitar riesgos de compliance, pero que indirectamente pueden ser eficaces para este tipo de riesgos y que en un desarrollo posterior podremos convertir en controles robustos de compliance.
Los criterios de evaluación también mantienen un componente de discrecionalidad, pero mucho menor que en la evaluación de riesgos. Los criterios de evaluación de controles tienden a dar el valor mas alto a los controles automatizados, y bajan la valoración de eficacia en la medida en que el control depende de la conducta humana y está tan solo diseñado o poco implantado.
Una vez evaluados los controles, podemos establecer un mapa de calor del riesgo neto, cruzando la evaluación del riesgo inherente con la eficacia del control.
Mantenimiento del marco de gestión del riesgo de Compliance
Una vez realizado el mapa de riesgo neto comienza la fase de tratamiento del riesgo y mejora continua del marco de su gestión. Ambos objetivos dependerán del liderazgo que ejerzan los órganos de gobierno en la implantación del sistema, ya que es dicho órgano de gobierno quien acaba definiendo el apetito de riesgo aceptable y los medios necesarios para la eficacia del sistema de gestión. Los objetivos definidos a través del apetito de riesgo se convierten así en objetivos de compliance y el proceso de mantenimiento y mejora del marco de gestión de riesgo se integra dentro del marco de gestión del sistema de compliance.