Cómo construir un buen proceso de evaluación de riesgos
Construir un buen proceso de evaluación de riesgos es una de las tareas más importantes que realiza un responsable de cumplimiento, y también una de las más confusas. ¿Cómo seguir evaluando los riesgos de su organización de manera disciplinada y metódica, cuando la gama y la naturaleza de esos riesgos cambian tan a menudo?
Afortunadamente, hace poco recibimos un gran consejo al respecto, cortesía del Contralor de la Moneda, uno de los principales reguladores bancarios de Estados Unidos. La OCC (principal regulador estadounidense para los bancos minoristas), sancionó recientemente a un banco por fallos sistémicos en la gestión de riesgos. El banco concreto en cuestión no es importante para nosotros hoy aquí, pero la orden de sanción de la OCC incluía una larga explicación de lo que quiere ver para una metodología de riesgo eficaz. Es un consejo que los responsables de cumplimiento de cualquier lugar pueden poner en práctica en su propia organización.
Empezar por conocer la empresa
En primer lugar, la orden de la OCC subrayaba que la evaluación de riesgos debía valorar todos los riesgos que tiene la empresa. El evento de la agencia incluyó una lista de dónde podrían residir esos riesgos:
- Productos y servicios ofrecidos;
- Tipos de clientes y entidades atendidas;
- Tipos de transacciones;
- Países o ubicaciones geográficas de clientes y transacciones;
- Métodos que utiliza la organización para interactuar con sus clientes.
En el caso de la OCC, esa lista se aplica a la banca. Ahora imaginemos cómo funcionan esas viñetas si se tratara de evaluar el riesgo de la FCPA. Se haría preguntas como
- ¿Ofrecemos productos o servicios a gobiernos extranjeros?
- ¿Sabemos cuáles de nuestros clientes son empresas estatales?
- ¿Cuáles de nuestras transacciones conllevan un alto riesgo de corrupción?
- ¿En qué lugares del mundo hacemos negocios en los que podríamos encontrar altos niveles de corrupción?
- ¿Cómo interactuamos con nuestros clientes? ¿A través de intermediarios u oficinas de ventas sobre el terreno, o mediante interacciones en línea aquí en casa?
Me gusta este enfoque porque hace hincapié en un punto sutil pero importante: el éxito de las evaluaciones de riesgos depende de que el responsable de cumplimiento conozca la empresa.
Es decir, hay que entender cómo gana dinero la empresa, quiénes son sus clientes y cómo interactúa con ellos. Hay que elaborar un mapa –en sentido figurado, en la cabeza, o incluso literalmente en una pizarra– de cómo funciona la empresa. Entonces podrá empezar a relacionar esas operaciones con el riesgo.
Esto es así tanto si se trata del cumplimiento de la normativa contra el blanqueo de capitales (lo que preocupa a la OCC), del riesgo de la FCPA (lo que abordan mis preguntas anteriores) o de cualquier otro riesgo de cumplimiento, en realidad. En primer lugar y siempre, el responsable de cumplimiento debe comprender cómo funciona la empresa. Entonces podrá empezar a recopilar datos sobre el riesgo que sean más útiles e informativos, porque sabrá dónde mirar y qué preguntas hacer.
Sume los datos para comprender el riesgo
La OCC dijo que la evaluación de riesgos de un banco también debe examinar (1) los volúmenes y tipos de transacciones y servicios por país o ubicación geográfica; y (2) el número de clientes que suelen plantear un mayor riesgo, tanto por tipo de riesgo como por ubicación geográfica.
Este consejo también es útil; ayuda a los responsables de cumplimiento a comprender los datos que tendrá que recopilar y estudiar para evaluar los riesgos que tiene.
Por ejemplo, es posible que desee examinar el volumen de transacciones que se califican como de alto riesgo en el marco de la FCPA, clasificadas por país; o el número de terceros que plantean un mayor riesgo de trabajo justo, ya sea por tipo (trata de seres humanos, retención de salarios, etc.) y por ubicación. Los riesgos son diferentes de los que afronta un banco, pero las características de su análisis de riesgos son esencialmente las mismas.
La orden de la OCC también habla de agregar riesgos para poder evaluarlos a nivel de empresa.
Por ejemplo, un responsable de cumplimiento de un banco debería evaluar los riesgos individualmente dentro de las líneas de negocio del banco, y de forma consolidada en todas las actividades y líneas de productos del banco. Pues bien, otros responsables de cumplimiento podrían hacer lo mismo para la FCPA u otros tipos de riesgos de cumplimiento: examinar cada riesgo dentro de las principales unidades operativas de su empresa, y cada riesgo para su empresa en su conjunto.
Desarrollar un proceso sostenible de evaluación de riesgos
Recapitulemos lo que hemos visto hasta ahora. Una evaluación de riesgos satisfactoria debe basarse en que el responsable de cumplimiento (1) conozca la empresa, de modo que pueda identificar dónde reside el riesgo de cumplimiento; y (2) sume todos los datos pertinentes, de modo que pueda estudiar los riesgos de cumplimiento en partes específicas de la empresa o para la organización en su conjunto.
De acuerdo, pero seguimos con nuestra pregunta original: ¿Cómo pueden los responsables de cumplimiento desarrollar un proceso sostenible de evaluación de riesgos que proporcione análisis sólidos una y otra vez?
Las respuestas son sencillas. Para conocer la empresa, el responsable de cumplimiento debe participar en ella: reunirse periódicamente con los jefes de las unidades de negocio, formar parte de los comités internos de riesgos, participar en las reuniones de la dirección ejecutiva, etcétera. Para recopilar y analizar los datos pertinentes, el responsable de cumplimiento necesita herramientas y procesos de GRC eficaces: recopilar datos mediante flujos de trabajo automáticos y, a continuación, ejecutarlos a través de protocolos de elaboración de informes sofisticados (pero versátiles).
En otras palabras, las evaluaciones de riesgos eficaces son realmente una parte de habilidades humanas y una parte de habilidades tecnológicas. El acuerdo de la OCC ofrece un gran consejo; nos permite escuchar las ideas de un regulador sobre lo que debe ser capaz de hacer un buen proceso de evaluación de riesgos. Luego viene el duro trabajo de los responsables de cumplimiento de poner las condiciones adecuadas en su organización para que pueda construir ese buen proceso de evaluación de riesgos.
Fuente de la publicación: NAVEX.
Recuperado de https://www.navex.com/en-us/blog/article/how-to-build-a-good-risk-assessment-process/ (Traducido por ICR).