Debilidad en el
Compliance; un riesgo, varios impactos, cual nos expone más.
Carlos Alberto Barrios
Moore Stephens Madrid
Todo este tema del Compliance
cada día se complica más, por eso debemos ser cautelosos en poder identificar
eficazmente los riesgos inherentes y los riesgos específicos a los procesos,
porque de lo contrario podemos perder el control del proyecto, de su alcance y sus
objetivos.
Es propicio aclarar dos términos
que he visto son confundidos o mal interpretados. Los riesgos inherentes a los
procesos son aquellos riesgos propios o muy factibles de sucederse en un
proceso. Por ejemplo un riesgo inherente al proceso de cobranza en efectivo es
que el cobrador dilate la consignación del efectivo usándolo para su propio
beneficio y reponiéndolo posteriormente, eso lo conocemos como malversación de
bienes. El riesgo específico identificado, es aquel riesgo que es propio y
específico de la operación de esa organización. Por ejemplo el mismo proceso de
cobranza, pero el cobrador debe depositar lo cobrado enviando el comprobante y
la relación de cobro, pero cambia el medio de pago por ejemplo de efectivo a
cheque; aunque el riego inherente
continua existiendo (dilación en la consignación del efectivo), detectamos
otros riesgos específicos, para este ejemplo que es la manipulación que el cobrador
realiza para cambiar el medio original de pago. Ese riesgo es específico de ese proceso y de esa
organización, no necesariamente es una constante que sucede para todas las
organizaciones.
Por esa razón soy enfático
indicando qué no por tener similares procesos de negocio, tenemos
ineludiblemente los mismos riesgos inherentes y específicos así como los mismos
niveles de impacto. La cultura empresarial y el entorno de negocios también
están presentes y representan un factor decisivo en identificar el riesgo y
determinar el impacto y exposición.
Sabemos que el primer paso para
todos los enfoques del Risk Management es la identificación de los procesos
se van evaluar, identificando los riesgos inherentes propios del proceso, y
posteriormente al entendimiento de este identificaremos cuales riesgos
específicos se han detectado. Identificado ambos tipos de riesgos procederemos
a identificar y cualificar la pertinencia o no del control, eficiencia, impacto
y exposición.
Un riesgo sin importar que sea
inherente o específico puede de acuerdo a la operación, segmento y sector del
mercado ocasionar impactos diferentes, y es justamente en esa etapa donde
debemos fundamentar y acordar con nuestro equipo de proyecto en la
identificación efectiva de los impactos probables que esos riesgos pueda causar
en la organización, a fin de identificar efectivamente las consecuencias a las
cuales se está comprometido.
Es muy probable que un riesgo
pueda ocasionar un impacto operativo, donde se afecte la eficiencia de la
actividad; por ejemplo un doble chequeo en un proceso interno de aceptación de
cliente que parece no agrega valor y más bien crea un cuello de botella logrando
que la actividad fluya inadecuadamente, ineficientemente y en forma tardía.
Postergando la aceptación del cliente, afectando la toma del pedido y la
facturación. Pudiésemos inferir que el mayor impacto es operativo, financiero y
hasta comercial y no precisamente penal o reputacional.
Adicionalmente el proceso de
aceptación incumple con las revisiones mínimas de diligencia debida para evaluar
la vigencia de las referencias del cliente y determinar qué éste no tiene causa
abierta en tribunales, o no está cuestionado o incurso en temas de corrupción,
soborno o blanqueo de capitales; inferiremos que el impacto mayor es penal y
reputacional por diligencia debida. Seguramente en forma operativa siga siendo
ineficiente porque el proceso de aceptación del cliente posterga la venta, pero
el impacto penal y reputacional es de mayor magnitud y privará sobre el
operacional.
Como este caso podremos enumerar
muchos más donde un mismo riesgo puede de acuerdo al objetivo de la revisión
exhibir impactos diferentes. Será nuestra acuciosidad poder identificar cuáles
de estos impactos acarearía para la empresa las mayores consecuencias
negativas. Es factible que el riesgo penal exista pero su probabilidad es tan
remota que pudiésemos reconsiderar que el impacto financiero o de mercado por
ejemplo es el que más posibilidades de impacto negativo hacia la organización
tendría.
Este ejemplo es sobre el cual
sustento mi posición en la cual tratar de evaluar controles en base a solo a
riesgos inherentes sin evaluar ni entender la realidad situacional de la
organización entendiendo sus riesgos específicos puede constituirse en un error
significativo por inobservancia o falta de diligencia.
La identificación de riesgos así
como la determinación de los impactos probables es un trabajo del equipo de
proyecto, en la cual expertos financieros, legales y de procesos entre otros,
expondrán sus consideraciones y argumentos para identificar y cualificar cual
de los impactos será el que mayor carga negativa ocasionaría a la organización.
Ese deberá ser el objetivo del Modelo de Gestión.
Si desea agregar o complementar
alguna información sobre este tema, tiene toda la libertad para realizarla,
respetando la posición y opinión de los demás y sin exponer a personas ni
empresas. Nadie tiene la verdad absoluta!.
Comentarios
Publicar un comentario