Medir la efectividad de los controles es clave en la Gestión de Riesgos de Compliance

En nuestra experiencia, en la implementación de modelos de gestión de riesgos de Compliance muchas veces se toma como referencia la experiencia en empresas reguladas, como las del sector financiero. Esto no tiene nada de malo, siempre que se considere que en estas empresas los controles son parte integral del diseño e implementación de los procesos. Es así como los procesos consideran aprobaciones, auditabilidad y reportes de compliance desde el diseño. En el caso de compliance penal, en general estamos implementando controles sobre procesos existentes, lo que debe ser abordado en la estrategia de implementación, especialmente tratándose de un ambiente complejo y con recursos limitados.

Hemos visto en compliance penal, muchos casos en que se identifican controles tales como políticas y procedimientos que en rigor no son controles. Esto es, no son procesos predecibles que mitiguen los riesgos con determinada efectividad. Esto produce varios efectos negativos:

• La evaluación de riesgos no es “accionable”, en el sentido que no permite tomar decisiones de apetito de riesgo basada en datos concretos.
• La evaluación del riesgo residual es arbitraria: sin criterios de efectividad consistentes, no es posible evaluar el riesgo residual de distintos riesgos para priorizar recursos.
• Lo anterior provoca una falta de accountability de los distintos stakeholders. Observamos riesgos que están documentados en una matriz, pero que en el mundo real no están siendo gestionados activamente y, por el contrario, riesgos que están siendo gestionados activamente por los directivos de la organización, pero no están documentados.

Por ejemplo, en el caso de cohecho con funcionarios públicos:

• Por un lado, tenemos el proceso de gastos reembolsables, proceso formal que se lleva en una herramienta corporativa, que tiene un responsable para toda la empresa y un reporte mensual. En este reporte el mes pasado, fuera de los montos, se observa que el 4% de los gastos se rechazan. Dada una cantidad importante de empleados, esto suena razonable. Si los gastos rechazados fueran 0% o 40%, sería un punto de atención.
• Por otro lado, tenemos una política que establece que cualquier reunión con funcionarios públicos se debe registrar en una minuta. Se han efectuado capacitaciones a todos los empleados e inducciones a los empleados nuevos. No tenemos información de los roles que tienen reuniones, cantidad de reuniones en un mes promedio, ni de la cantidad de minutas registradas en los últimos meses.

Este ejemplo muestra el enfoque que en nuestra experiencia genera tracción en la gestión de riesgos, porque permite evaluar la efectividad de los controles con data y tomar decisiones. En este caso, la decisión sería si la organización no está dispuesta a invertir en controlar las reuniones con funcionarios públicos con un nivel mínimo de gestión, la efectividad del control se debe calificar como baja y el riesgo residual ajustarse de acuerdo con esa evaluación.

La complejidad de los programas de compliance es alta y aumentando, con delitos difíciles de controlar como el cohecho entre privados y con la perspectiva de agregar los delitos económicos. Para nosotros hacerse cargo de esta complejidad con un modelo de gestión integrado y simple, basado en gestionar la efectividad de los controles es la única manera de implementar un programa exitoso con recursos limitados.

Si desea conocer más sobre nuestro enfoque, revise el Resumen Ejecutivo de nuestro eBook aquí