La sesión del pasado jueves del IECOM que tuve el honor de impartir estuvo centrada en la elaboración de un mapa o matriz de riesgos, que es la pieza angular sobre la que se basa el diseño de un programa efectivo de compliance.
En concreto, esta herramienta nos permite identificar y definir el perfil de riesgos de compliance de la entidad para la cual se va a crear o a mantener un marco de cumplimiento adecuado.
Este ejercicio debe ser realizado con meticulosidad y rigor dado que en caso de errar a la hora de identificar el riesgo (en este caso riesgo inherente) estaremos elaborando un marco de gestión de compliance inadecuado. Hay que tener en cuenta varias premisas a la hora de obtener el perfil de riesgos:
- El riesgo cero no existe.
- Si un riesgo no es identificado, dicho riesgo es aceptado por defecto.
- Si el riesgo es infravalorado, se estarán estableciendo unos controles que no lograrán mitigar el riesgo adecuadamente, dado que este ha sido infravalorado.
- Si por el contrario se estima que un riesgo es más elevado o mayor de lo que en realidad es, se estarán dedicando demasiados controles que pueden ralentizar la operativa de una organización de forma injustificada.
Por lo tanto, es fundamental dedicar el tiempo y los recursos necesarios para hacer una identificación, análisis y evaluación del riesgo realista y adecuada. Para ello se requiere de un profundo conocimiento de la operativa de la entidad, así como del contexto externo de la misma.
Siendo la base de partida un conocimiento mínimo del sector donde opera, de los países donde opera, de las actividades que se realizan y de la estructura de la entidad. Las normas de obligado cumplimiento a las que se enfrenta una entidad que opera en un sector regulado, que cotiza en bolsa y que opera en varios países son mucho más extensas y complejas y por tanto el riesgo de incumplimiento es más elevado. Por el contrario, una entidad que opera en un sector no regulado que opera en un único mercado tendrá una complejidad menor.
Una vez identificado el riesgo, se procederá a su análisis y evaluación, para poder determinar si es alto, medio o bajo. Para ello, habrá que determinar para cada riesgo cuál es la probabilidad de que se produzca y cuál sería el impacto en caso de que el riesgo se materializara. Y de esta forma se obtiene el riesgo inherente.
El paso siguiente es la identificación y evaluación de los controles existentes que mitiguen cada riesgo identificado. Para ello se listarán los controles que hacen frente a cada uno de los riesgos. Una vez identificados, se procederá a su evaluación, es decir a la valoración de la efectividad de los mismos. La existencia de un control no es garantía de efectividad a la hora de disminuir o mitigar el riesgo. SI un control está mal diseñado es como si no hubiera control alguno.
Para evaluar la efectividad de los controles se puede someter el control a dos tipos de análisis: (1) análisis del diseño del mismo, es decir, ¿el control está diseñado para identificar las transacciones de riesgo? (2) Asumiendo que el control está bien diseñado, la pregunta que queda por dar respuesta es ¿funciona de forma correcta y efectiva?
Normalmente la forma más segura de obtener respuesta a estas cuestiones en basándose en validaciones de los equipos de auditoría interna, equipos de monitorización o en su defecto, hablando con los dueños de los procesos y controles. Una vez completado este ejercicio de evaluación de controles, se obtendrá una visión del marco de control siendo este débil, moderado/medio o fuerte.
Si contraponemos el riesgo inherente (Alto, Medio, Bajo) con el resultado de la evaluación del marco de control (Débil, Medio, Fuerte) se obtiene lo que se denomina el riesgo residual. Este es el riesgo “real” al que se enfrenta la entidad a diario. Si este riesgo fuera demasiado elevado y por tanto inaceptable para la entidad, habría que proceder a tratar el riesgo con el objetivo de seguir reduciéndolo hasta niveles aceptables (es decir, dentro del apetito de riesgo estipulado por la entidad).
El mapa de riesgos es por tanto el punto de partida de un programa de compliance dado que da un diagnóstico de la situación y permite la toma de decisiones a todos los niveles.