El Modelo de Gestión y Control de Riesgos;
Checklist o metodología de control.
Carlos
Alberto Barrios
MSMADRID
En otros
artículos he referido que el Modelo de Gestión y Control de Riesgos o Modelo de
Cumplimiento o Complianse debe ser bien entendido como un proceso de evaluación integral de controles que cumple una estricta forma metodológica y procedimental y que
no es simplemente (como muchos lo entienden) una guía de controles, con “sies y
noes” que completamos después de una reunión con los Directivos de la
Organización más un Manual de Riesgos genéricos.
Muchos
proveedores de servicios de Compliance subestiman la metodología
(COSO /COBIT /ISO31000 /CoCo) y de los procedimientos que conlleva el desarrollar
un modelo de gestión de riesgos y control, exponiéndose ellos y a su cliente a
errores procedimentales que pudiesen ser considerados como deficiencias e
inconsistencias significativas que incumplen la diligencia debida del control.
No solo se
trata de identificar riesgos inherentes de un proceso y sí los controles
implementados existen o no, no es tan simple como muchos están entendiendo al
promover “guías de control genéricas o cajitas felices de controles”. He visto
por ejemplo que se desconocen las etapas que conllevan un proceso de evaluación,
mezclándolas o dejando de lado alguna de ellas; lo que indefectiblemente
ocasionará un proyecto mal desarrollado y mal implementado, donde las
conclusiones y acciones subsecuentes posiblemente concluyan en cometer errores
que incrementarán el nivel de exposición y riesgo de la organización.
El no
entender y subestimar los procesos de la organización, derivándola solo a
evaluar controles inherentes sin saber sí los mismos se desarrollan en la
empresa; conllevará a recomendaciones que lejos de agregar valor y minimizar
riesgos, tendría un efecto contrario,
imponiendo controles ineficientes, ambiguos e inconsistentes a la
organización.
La no
identificación de la frecuencia (cantidad de veces que se ejecuta la actividad)
y el nivel de confianza del control, afectaría en la capacidad de determinar el
tamaño de la muestra que deberá ejecutarse. Así mismo, la errada identificación
de la prueba, de los atributos de evaluación, de la documentación y
sustanciación de ésta, igualmente nos expondrá a conclusiones erradas,
ambiguas, e incompletas, que no sustentarán adecuadamente nuestra conclusión
sobre la eficiencia del control.
Estas
debilidades básicas en el proyecto pudiesen ser motivo suficiente para concluir
que el mismo incumplió con la diligencia debida tal como expone la condición 1era
del apartado 2do del artículo 31bis para considerar exenta de responsabilidad a
la persona jurídica donde se expone: “1.ª
el órgano de administración ha adoptado y ejecutado con eficacia, antes de la
comisión del delito, modelos de organización y gestión que incluyen las medidas
de vigilancia y control idóneas para prevenir delitos de la misma naturaleza o
para reducir de forma significativa el riesgo de su comisión;” así mismo el
apartado 5to condición 1era y 2da refiere: “5.
Los modelos de organización y gestión a que se refieren la condición 1.ª del
apartado 2 y el apartado anterior deberán cumplir los siguientes requisitos:
1.º Identificarán las actividades en cuyo
ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2.º Establecerán los protocolos o
procedimientos que concreten el proceso de formación de la voluntad de la
persona jurídica, de adopción de decisiones y de ejecución de las mismas con
relación a aquéllos.”.
Como podemos
apreciar, la evaluación de controles que soporta un proyecto de cumplimiento o
complianse es complejo y deberá desarrollarse con todas las formalidades y
procedimientos que conlleva cualquier proyecto organizacional, ya que sí una
Firma de Consultoría le ofrece a sus clientes la falsa idea que su “guía de
controles” los liberará de una posible sanción penal, y donde la misma está
llena de inconsistencias de forma y de fondo, el órgano de control pudiese
alegar ineficiencia e ineficacia en la adopción y ejecución del modelo idóneo,
por lo que esa Firma estaría cometiendo desde mi perspectiva un delito de abuso por inexperiencia
del consumidor y en contra los consumidores por oferta engañosa.
Debemos
tener en consideración y solo a manera informativa para ejemplarizar; una
empresa comercial estándar de entre 20 a 60 empleados, con manufactura o
transformación simple hasta 3 niveles, con operación centralizada, estaría compuesta
entre 13 a 22 procesos de riesgos críticos; de 20 a 35 subprocesos, que
posteriormente a su evaluación e identificación pudiesen ser agrupados y
evaluados en unas 80 a 140 actividades de control para riesgos inherentes y
unos 20 controles de riesgos específicos. Este proyecto debería ser
desarrollado en unas 160 a 220 horas hombre. Tristemente he visto propuestas
que “aseguran” el modelo de gestión de riesgos en 70h/h y unos 40 controles
“penales”.
La
diferencia no es precisamente por ser “eficientes”; es una diferencia
procedimental, de estructura, de metodología y de aplicación; es una guía llena
de “sies y noes” y un manual de riesgo genérico versus una evaluación integral
del riesgo, de la exposición, de la criticidad e impacto, un manual de riesgo
desarrollado centralizado en la empresa, en la operación, en su cultura y su
mercado, adecuadamente sustanciada y documentada.
Dudemos de
cualquier propuesta tipo “fórmula mágica” de 3.000€ con manual incluido. Seamos
escépticos, preguntemos por la metodología y los procedimientos a usar,
entendamos cuantos procesos de riesgo tenemos y cuantos subprocesos
organizacionales desarrollamos. Preguntemos por la experiencia de los profesionales, no cuantos cursos ha hecho, sino cuantos proyectos ha participado y desarrollado.
Entendamos
que comprar un “genérico” lejos de gastar 3.000€, no nos librará de nada, no
nos dejará ningún valor añadido, no nos permitirá mejorar y corregir errores
con impacto operativo, financiero, estratégico ni mucho menos penal.
Si desea
agregar algún comentario adicional, está libre de hacerlo, respetando la posición de los demás y sin exponer
a personas ni a empresas. Nadie tiene la verdad absoluta!.
Comentarios
Publicar un comentario