Cómo elaborar un Programa de Cumplimiento. Riesgos (II)

  Proseguimos con las publicaciones acerca de cómo elaborar un Plan de Cumplimiento Normativo, hoy nos vamos a centrar en la Evaluación y Tratamiento de los Riesgos.

       EVALUACION DE RIESGOS

La primera tarea a a la hora de evaluar riesgos es el diseño de controles, estos controles se diseñan en la empresa para prevenir y evitar los riesgos que hemos identificado.

A la hora de hablar de los controles que implementaremos en la empresa podemos distinguir tres tipos:

1.- Controles de prevención. Previenen el riesgo antes de producirse.

Este tipo de controles son las políticas y procedimientos de Compliance en la empresa, los controles organizativos y los controles de procesos.

2.- Controles de Reacción. Tienen la finalidad de promover conductas positivas con posterioridad a que se materialíce el riesgo en la empresa, estos controles pueden ser las medidas disciplinarias o los incentivos.

3.- Controles de Detección. Son controles que aunque entran en funcionamiento con posterioridad a la materialización del riesgo, lo hacen de forma inmediata para corregir inmediatamente el riesgo, un ejemplo de estos controles es el Canal de Denuncias o el Análisis de Reclamaciones.

La segunda tarea que debemos realizar es la evaluación de los controles que previamente hemos diseñado,

Los controles que implantamos en la empresa pueden ser manuales o automáticos, ¿cuáles son mejores? Los controles automáticos son más robustos aunque los controles manuales son menos costosos.

Hay que ser cuidadoso en lo que a controles se refiere, puesto que, a pesar de que el control esté bien diseñado no se ejecuta de forma adecuada o que se ejecute de manera adecuada pero esté mal diseñado, sea como fuere, esto hará que el control no funione. 

¿Cómo se evalúan los controles?

Centrándonos en su diseño y efectividad tendremos que evaluarlos, esta evaluación la podemos hacer como queramos, podemos clasificarlos en una escala que vaya desde el débil hasta automatizado.

En función de esta escala que acabo de señalar podemos identificar los siguientes:

Débil.- Cuando no hay control o el mismo es deficiente

Limitado.- El control existe pero no es adecuado o porque si diseño no mitiga el riesgo inherente o porque no se ejecuta idóneamente.

Fuerte.- El control, existe y se ejecuta de forma adecuada pero el control depende de intervenciones humanas.

Automatizado.- El control existe y se ejecuta de forma adecuada pero el control se ejecuta automáticamente.

Estos resultados se documentarán adecuadamente en una plantilla, cuántos más campos abarque con el fin de enriquecer la información relativa a los controles redundará en nuestro beneficio.

A la hora de analizar los resultados como consecuencia de la evaluación tendremos que decidir si tenemos que adoptar alguna medida, qué medida hay que adoptar, si es urgente adoptarla….etc., para realizar esta tarea habrá que encontrar el riesgo residual, ¿qué es el riesgo residual? Este tipo de riesgo es el resultado de medir la efectividad de los controles en el riesgo inherente, es un riesgo que la empresa asume y, es por eso que, tiene que ser conocido por la dirección.

El documento donde conste recogido el riesgo residual también debe ser periódicamente revisado y verificado con la finalidad de que se encuentre actualizado y sea efectivo a la realidad de la empresa, en caso contrario la implantación y evaluación de estos controles sería irreal y devendría en ineficaz.

TRATAMIENTO DE LOS RIESGOS

Para proceder al tratamiento de los riesgos debemos fijar el apetito de riesgo de nuestra empresa, pero ¿qué es el apetito de riesgo? Es la cantidad de riesgo que la dirección de la empresa asume en la búsqueda de valor porque el riesgo cero no existe.

El apetito de riesgo que asume la empresa nunca podrá superar el riesgo residual porque en ese caso estamos ante el aviso de que debemos implantar controles adicionales o evaluar y ajustar las tareas que venimos explicando.

Las decisiones en torno al tratamiento de riesgos vendrán definidas por los  resultados que obtengamos de las tareas de evaluación de riesgos y a su vez decisiones adoptadas por la alta dirección en cuanto al apetito de riesgo.

La normativa UNE-ISO 31000 ofrece unas posibilidades a la dirección de la organización para decidir cómo gestiona los riesgos, también el Committee of Sponsoring Organization of Treadway Commission ofrece una serie de opciones ante eventuales riesgos.

De cualquier forma, hay que hacer un análisis sobre la necesidad de implantar controles adicionales, o bien para evitar el riesgo, para reducirlo, compartirlo o transferirlo o bien aceptarlo.