Capturar sinergías, usar adecuadamente la información de la empresa, adoptar tres líneas de defensa y retar al personal son las recomendaciones que Cesar Roldán, empleado de cumplimiento del grupo EPM, entrega a sus colegas del sector real en esta, su segunda columna de opinión para infolaft.
Por: Cesar Augusto Roldán*
Un repaso de la gestion integral de riesgos (GIR)
En principio es importante que recapitulemos algunos aspectos generales de la gestión integral de riesgos (GIR), la cual, en su propia denominación involucra el concepto de sistema. Con el fin de dar mayor claridad defino como sistema al ‘‘conjunto de elementos con cierto grado de coordinación que conforman un todo en interacción bajo la acción o influencia de fuerzas que en alguna relación definida, buscan alcanzar uno o varios objetivos”.
Por lo anterior, el concepto de integralidad nos debe remitir a un enfoque sistémico en nuestra organización, sea una empresa o un grupo empresarial.
En el grupo empresarial para el cual laboro la gestión integral de riesgos (GIR) se concibe como un facilitador del logro del direccionamiento estratégico y de la toma de decisiones, considerando en todo momento la interacción que existe entre la empresa, el entorno, los procesos, los proyectos y los recursos e intereses a proteger. Es decir, la organización se concibe como un sistema articulado en un entorno con unas entradas, procesos y salidas.
Entre los beneficios que ofrece la GIR cito, entre otros, la identificación de posibles eventos que pueden afectar el logro de los objetivos, soportar decisiones, minimizar y prevenir pérdidas, facilitar el cumplimiento de requisitos, garantizar el cumplimiento normativo, desarrollar mejores prácticas de clase mundial, así como generar confianza frente a los grupos de interés o stakeholder.
Cualquier guía metodológica que adopte una organización debe considerar –al menos- los requisitos establecidos en normas técnicas, estándares internacionales o buenas prácticas comprobadas en el medio, de forma tal que permitan generar conversaciones en un lenguaje común, unificar criterios y mecanismos para realizar su gestión de riesgos, trabajar todos los riesgos identificados con una visión compartida y enfilados en las métricas y mecanismos de valoración de dichos riesgos.
Ahora bien, determinar el grado de intervención que desde el área de cumplimiento se debe llevar a cabo en las empresas del grupo empresarial dependerá del grado de madurez que tenga el grupo en sus estructuras de gobierno. Booz & Co. plantea cuatro figuras o estructuras de grupo: holding, arquitecto estratégico, gerente estratégico e involucrado operativo, pero para efectos de este artículo solo abordaré dos de ellas: involucrado operativo y arquitecto estratégico, formas que operamos en el grupo empresarial en el que trabajo.
El primer esquema (involucrado operativo) opera o es típicamente utilizado para negocios muy similares y con una visión de permanencia a largo plazo, buscando aprovechar al máximo las sinergias. Aquí las diferentes empresas del grupo homologan sus procesos y estos se llevan a cabo de la misma forma, independientemente de donde operan.
Ya en el segundo caso (arquitecto estratégico), desde casa matriz el controlador o núcleo establece las métricas financieras y operacionales claves y cada negocio o empresa es responsables de los resultados.
Algunos consejos
Capture sinergias
Siempre he sostenido y promulgado que el conocimiento que una organización o empresa adquiere en temas de prevención de riesgos, en particular los riesgos asociados al LA/FT, debemos considerarlo como conocimiento de toda la sociedad y por ello debe estar disponible para ella, más aun cuando hay una operación de grupo empresarial.
Es por esto que el direccionamiento estratégico, el marco de actuación, las políticas y los procedimientos deben llevarnos a obtener el máximo provecho de las sinergias al interior de la organización. No es una cuestión de copiar y pegar, sino de identificar la línea base de operación para luego adaptarlas a las particularidades de cada negocio.
Para todos es claro que los riesgos asociados al LA/FT son los riesgos legales, reputacionales, operativos u operacionales y el de contagio o de concentración. Debido a esto las actuaciones u omisiones de una empresa, filial o subordinada de un grupo empresarial potencialmente podrán afectar a todo el sistema, en este caso particular a todo el grupo empresarial.
Ahora bien, ¿cómo llevar la gestión a las empresas? Seguro habrá elementos que permitan definir o identificar controles que se deban centralizar y una vez adquirido el conocimiento se podrá determinar cuándo es apropiado descentralizar algunas capacidades y procedimientos. ¿A que me refiero? Una vez definida una metodología de GIR el grupo deberá tener segmentado su riesgo y a partir de allí contará con unas ‘zonas de calor’, focos o nodos de alto riesgo donde el oficial o empleado de cumplimento tendrá que asumir una intervención directa. En focos menos críticos podrá delegar o descentralizar los controles que se hayan identificado en estos nodos no prioritarios.
Thomas Hawk
Póngamos como ejemplo las debidas diligencias. Lo relevante en este caso no es iniciar con todas las dependencias o empresas un proceso ‘a quema ropa’ o tipo ‘ráfaga’ en el que se imponga a todos la obligación de adelantarlas. Eso estaría muy mal. En cada empresa primero debería identificarse quiénes son los responsables de entenderse con determinado grupo de interés o contraparte y así ‘matricularlo’ o ‘montarlo en el bus’ de la prevención del LA/FT.
Algunas debidas diligencias deberían ser solicitadas por el dueño del proceso -para aquellos focos sensibles- y llevadas a cabo por el área de cumplimiento, y en otros procesos la responsabilidad podrá entregárseles a ellos mismos, eso sí con un apoyo o toma de control por parte del área de cumplimiento cuando haya alguna señal o duda por parte de quien adelante la debida diligencia.
En nuestro caso la mayoría de controles se han instrumentalizado vía procedimientos, unos en cabeza del área de cumplimiento y otros en cabeza de los directos responsables o dueños del proceso, pero con una clara instrucción: ante la duda, ante alguna coincidencia en listas públicas o ante información que denote alguna alerta, levante la mano y diríjase a cumplimiento para que esta área sea la que tome el control e indique el camino a seguir.
Cuando se aborda el tema de centralización versus descentralización (en este caso de controles) siempre encontraremos pros y contras, por eso frente al eterno dilema sobre qué tanto descentralizar la respuesta será: depende, y como lo mencioné depende del grado de madurez del modelo de control. Mi recomendación siempre es: conquístelos, hágales ver las bondades y beneficios de pensar en la prevención y el control del LA/FT, y una vez los tenga convencidos entrégueles controles propios para su relacionamiento con el tercero.
Aproveche sus datos e información
Un aspecto muy importante y que siempre debe considerarse es el factor de desarrollo tecnológico que posea cada organización. Hoy en día la normatividad asociada al tratamiento de la información ha llevado a que muchas organizaciones tomen mayor conciencia de la importancia de sus datos y los manejen como información relevante.
Así, si su empresa o empresas han alcanzado un nivel mínimo en su arquitectura de tecnología usted podrá facilitar el cruce de archivos maestros (bases de datos de clientes, proveedores, empleados, socios, aliados, asociados, etc.) contra listas automáticas de consulta tipo Ofac, ONU, Banco de Inglaterra, Banco Mundial, entre otras listas públicas disponibles en diversos sitios web.
La estandarización de procedimientos será fundamental para unificar actividades y formatos de conocimiento del tercero, de vinculación de clientes, de vinculación de candidatos o contratistas y de relacionamiento con fuerzas de venta externas, entre otros.
Mi recomendación frente al establecimiento de controles es sencilla: sabemos que podemos contar con controles preventivos y correctivos, los cuales pueden ser manuales o automáticos. Frente a la clasificación y valoración de los controles de los riesgos LA/FT es importante determinar lo más conveniente para su organización. Una estrategia a considerar puede ser diseñar y desarrollar controles que se puedan probar en algunos procesos, implementarlos, llevar a cabo ‘pruebas de confianza’ (es decir, qué tanto operan, cómo los reciben los funcionarios y qué tanto se apropian de ellos) y luego de que estén maduros llevarlos a otros procesos para aplicarlos a las demás contrapartes, esto en la medida que apliquen.
Un control que haya pasado un análisis serio de efectividad y que haya sido debidamente implementado estará listo para ser ‘exportado’ o implantado en las empresas de un grupo empresarial.
Ponga las tres líneas de defensa
La teoría de las tres líneas de defensa plantea básicamente la existencia de tres instancias en las cuales cualquier organización puede fundamentar su sistema de control. La primera línea hace referencia propiamente a la gestión operativa de la empresa, esto es, los gerentes y los líderes operativos que gestionan los riesgos. Ellos identifican, evalúan, controlan y mitigan los riesgos, orientan el desarrollo e implementación de políticas y procedimientos internos y aseguran que las actividades sean compatibles con las metas y objetivos.
La segunda línea de defensa es la gestión del riesgo que involucra las funciones de cumplimiento propiamente dichas, allí se establecen diversas funciones de gestión y cumplimiento para apoyar, definir, construir y/o monitorizar los controles de la primera línea de defensa.
Por su parte, la tercera línea de defensa corresponde a las funciones propiamente dichas de la auditoría interna, ya que es esta área la que proporciona garantías al órgano de gobierno y a la administración.
El marco de actuación anterior es básico para la estrategia de implementación de controles de LA/FT en sus organizaciones. Tenga mucho cuidado con ‘monumentalizar’ su proyecto de cumplimiento o los controles que vaya a implementar; es decir, pretender que de entrada tengan un alcance tan amplio y que se demoren tanto que la administración no pueda identificar rápidamente si se encuentra protegida contra los riesgos de LA/FT.
Es necesario involucrar a aquellas áreas, empresas o procesos que interactúan más cercanamente con sus factores de riesgo, conviértalos en sus socios para que identifiquen el valor agregado del rol de cumplimiento. Ellos nos deben ver como sus aliados para que nunca sientan temor en buscarnos frente alguna situación que se presente en términos de prevención del LA/FT.
Rételos
Nada crea más retos para un gerente operativo que la comparación con otras áreas de la empresa. Si usted logra que entre ellos compitan por mejores resultados y que mejoren su gestión será más fácil para el área de cumplimiento crear la conciencia de lo importante que es contar con un buen sistema de prevención de los riesgos de LA/FT. No estaremos inmunizados, pero sí preparados frente a la materialización de un escenario de riesgos de este tipo.
Independientemente del sector regulado al que pertenezca o del regulador que expidió la norma, sáquele provecho al conocimiento público que existe de las diversas normas. En este sentido el sector financiero nos ha enseñado mucho. En el sector real nos estamos poniendo al día en términos de prevención del LA/FT y eso hay que comunicárselo a todo el personal para que sean ellos el mejor control y un gran apoyo en su gestión de riesgo de LA/FT.
*Empleado de cumplimiento grupo EPM. Ingeniero. MBA
