¿Qué es un enfoque basado en el riesgo?

Enero de 2020 / Área de Derecho Financiero, Bancario

I. Antecedentes

Una de las frases más comunes en ética y cumplimiento corporativo es: "un enfoque basado en el riesgo".

¿Qué queremos decir con eso? ¿Cómo se ejecuta un programa de cumplimiento a diario y cuando lo usa?

La definición del enfoque basado en el riesgo es sencilla. Identifica los riesgos de cumplimiento más altos para su organización; y convertirlos en la prioridad para los controles, políticas y procedimientos. Una vez que su programa de cumplimiento reduce esos riesgos más altos a niveles aceptables, pasa a riesgos más bajos.

Uno puede ver por qué un enfoque basado en el riesgo es tan útil. Sus mayores riesgos de cumplimiento causarán la mayor interrupción en caso de que sucedan: tiempo invertido en investigaciones, dinero gastado en acuerdos regulatorios, titulares no deseados, asociaciones comerciales en peligro, etc.

Si hay algo que los altos ejecutivos odian es la interrupción de sus negocios. Entonces, operacionalmente, un enfoque basado en el riesgo tiene mucho sentido.

Los reguladores abogan por un enfoque basado en el riesgo por otra razón: porque muestra que la compañía realmente piensa en sus riesgos.

Por ejemplo, si realiza los mismos procedimientos de diligencia debida en todos los terceros o proveedores, eso es una pérdida de tiempo. Muchos de sus terceros o proveedores son inofensivos, mientras que algunos pueden representar un gran peligro. La aplicación de un estándar a todos muestra que la empresa no está pensando en sus riesgos de cumplimiento. Está pensando únicamente cómo cumplir con un requisito más, en este caso con la diligencia debida.

Una vez que los reguladores tengan en mente esa idea, que tal vez la compañía ve el cumplimiento como un elemento de la lista de verificación para concluirlo lo antes posible, usted está en una posición mucho peor. Los reguladores podrían comenzar a cuestionar la sinceridad de la compañía sobre el cumplimiento, además de su habilidad para el cumplimiento. Nada bueno viene de eso.

II. ¿Qué implica un enfoque basado en el riesgo?

Regresando a nuestra definición de enfoque basado en el riesgo señalada anteriormente, vemos que contiene dos partes: 1) identificar ciertos riesgos y 2) convertirlos en la prioridad. Entonces, cuando hablamos de lo que implica un enfoque basado en el riesgo, se trata de habilidad en la evaluación de riesgos y responder con agilidad.

Ese es un punto importante que los Oficiales y Directores de Cumplimiento deben considerar al defender el valor de los programas de cumplimiento ante la Alta Dirección y el Consejo de Administración. Usar un enfoque basado en el riesgo es la mejor manera de ejecutar un programa de cumplimiento, pero no necesariamente más barato o más rápido, porque el ahorro y la velocidad no son los objetivos principales, sino que es la reducción en el riesgo de cumplimiento.

La "habilidad en la evaluación de riesgos" implica varias capacidades específicas. Por ejemplo, implica una gran capacidad para realizar la debida diligencia en terceros, ya que pueden convertirse en parte de su empresa extendida. Inevitablemente, un tercero traerá algo de riesgo, y eso está bien, siempre y cuando se comprenda cuál es ese riesgo.

También implica la capacidad de monitorear el cambio regulatorio. Podemos definir que se trata de nuevas regulaciones que afectan a su negocio; o regulaciones existentes que se están convirtiendo en mayores prioridades de aplicación. (Piense en los riesgos por motivo de corrupción hace 10 años, o en el riesgo de sanciones hoy). De cualquier manera, debe comprender cómo un cambio regulatorio en el mundo exterior está cambiando los criterios para el riesgo de cumplimiento "alto" en su organización específica.

Y quizás lo más importante, necesita una capacidad para comprender los riesgos de cumplimiento que surgen de los propios procesos internos de su empresa. Nuevas líneas de productos, nuevos esquemas de compensación de incentivos, nuevos sistemas informáticos, nuevos terceros, nuevas asignaciones para terceros: todos ellos pueden afectar sus riesgos de cumplimiento, sin ningún cambio "externo" del mundo.

Hasta cierto punto (en muchos casos, en gran medida), los Oficiales de Cumplimiento necesitarán acceso a más datos y más análisis para desarrollar estas capacidades. También necesitará buenas relaciones con otras áreas de la empresa para que puedan mantenerlo informado sobre los cambios internos. Lo que significa apoyo para el cumplimiento por parte de los líderes de la organización, por lo que esas otras partes de la empresa entienden que siempre deben de incluir al área de Cumplimiento en sus decisiones.

III. Enfoque basado en el riesgo después de la evaluación

Después de esa evaluación de riesgos mejorada, todavía viene la parte de responder a los riesgos. Como dijimos, responder "con agilidad" es crucial para el éxito. También implica varias capacidades específicas para el programa de cumplimiento.

Primero, el programa necesitará habilidad para probar los controles. Son los frenos que evitan que el riesgo de cumplimiento de la empresa se convierta en un desastre, y necesitan trabajar. Si no es así, se necesita habilidad para desarrollar controles compensatorios para llenar ese vacío. En la práctica, eso podría significar trabajar en estrecha colaboración con su equipo de auditoría o con una función de seguridad de la información, o incluso con un proveedor externo.

En segundo lugar, el programa necesitará habilidad en la gestión de políticas, porque cierto control en algún lugar no cubrirá el riesgo de cumplimiento que usted tiene, y deberá cambiar una política o procedimiento para solucionarlo, y ese cambio debe mantenerse actualizado constantemente.

Sin esa capacidad de ordenar y controlar el cambio en toda la empresa, la organización puede enfrentar serias dudas sobre la efectividad de su programa de cumplimiento. Tal vez la empresa no está dedicando suficientes recursos; tal vez varios empleados no le están dando al cumplimiento la prioridad que necesita. En cualquier caso, la incapacidad para implementar el cumplimiento inhibe por completo el punto de un enfoque basado en el riesgo.

En tercer lugar, el programa necesitará habilidades para informar, porque eso proporcionará la evidencia que necesita para mostrarles a los altos ejecutivos, reguladores, socios comerciales y a cualquier otra persona que el programa de cumplimiento ha pensado en su enfoque.

Una vez más, ese es el objetivo de un enfoque basado en el riesgo: poner primero lo primero. Muchos grupos tendrán una necesidad perfectamente razonable de preguntar: "¿Por qué estamos haciendo esto?" Y los informes claros y precisos sobre el riesgo de cumplimiento brindan la respuesta.

IV. Contacto.

Para mayor información con relación a lo anterior, favor de contactar a cualquiera de los siguientes miembros de BGBG:

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.