En la actualidad muchas organizaciones emplean Coso ERM para la administración de sus riesgos estratégicos, operacionales, financieros o de información, entre otros; no obstante, es necesario conocer si dicho estándar es compatible y aplicable respecto al riesgo de lavado de activos y financiación del terrorismo.
Orígenes y definición
Para hablar del origen de Coso ERM necesariamente hay que remontarse al Marco de Control Interno publicado por el Comité de Organizaciones Patrocinadoras de la Comisión Treadway (Coso). Robert Moeller señala en su libro ‘Coso, gestión de riesgo empresarial. El establecimiento de procesos de gobernanza, riesgo y cumplimiento efectivos’ que el estándar hacía referencia a áreas relacionadas en las cuales no existían conceptos unánimes en industrias y profesiones, entre ellos la gestión de riesgos. En consecuencia Coso contrató en 2001 con una de las grandes firmas de auditoría el adelanto de una definición de gestión de riesgos, cuyo resultado fue Coso ERM. Coso ERM define que ‘‘la gestión del riesgo empresarial es un proceso efectuado por la junta directiva de la entidad, gerencia y otro personal, aplicado en el establecimiento de estrategias en toda la empresa, diseñado para identificar eventos potenciales que pueden afectar a la entidad, y gestionar que el riesgo de se encuentre acorde con su apetito al riesgo, para proporcionar una seguridad razonable en cuanto a la consecución de los objetivos de la entidad’’. La anterior definición también se puede adaptar para el caso LA/FT y quedaría así: la gestión del riesgo empresarial es un proceso efectuado por la junta directiva de la entidad, el oficial de cumplimiento, la gerencia y otro personal, aplicado en el establecimiento de estrategias en toda la empresa, diseñado para identificar eventos potenciales LA/FT que puedan tener un impacto legal, reputacional, operativo y contagio en la entidad, y gestionar que el riesgo LA/FT se encuentre acorde con su apetito al riesgo, para proporcionar un cumplimiento en cuanto a la consecución de los objetivos de evitar y detectar situaciones de riesgo LA/FT. Según Moeller, de la definición se puede rescatar que el ERM es un proceso y un grupo de acciones para lograr un resultado. A continuación se explican varios aspectos clave de Coso ERM dentro de la organización propuesto por Moeller y comparados a su vez con la gestión de riesgo LA/FT:ERM es un proceso, gestión del riesgo LA/FT también
Al remontarse al concepto de proceso se quiere decir que el ERM tiene que ser dinámico y a su vez flexible. Con respecto a la flexibilidad ERM espera que los procesos no se basen en un conjunto de reglas estrictas que descarten de antemano la toma de decisiones que impliquen algún tipo de riesgo, en lugar de esto se debe traducir en una serie de pasos para
evaluar y revisar los riesgos potenciales de tomar esa decisión.
Por su parte la gestión del riesgo LA/FT está enmarcado en varias etapas que son identificación, medición o evaluación, control y monitoreo (Ver numeral 4.1 del Sarlaft). Dichas etapas, con otro nombre, constituyen parte del ‘Proceso para la gestión del riesgo’ (ver capítulo 5 de la NTC-ISO 31000), el cual esta compuesto por las etapas de: comunicación y consulta, establecimiento del contexto, valoración del riesgo, tratamiento del riesgo y monitoreo, y revisión.
Libro Robert Mueller
Implementado por personal interno
Dicho proceso debe ser implementado o “aterrizado” por personas al interior de la organización y no limitarse a una serie de políticas y directrices impuestas por órganos e instancias superiores que en la práctica no se adaptan a la toma de decisiones que enfrenta la empresa.Tener en cuenta las estrategias
Es este punto Robert Moeller indica que las entidades deben adoptar el ERM para establecer las estrategias alternativas dependiendo de las acciones futuras que tienen pensado realizar. Dichas acciones pueden ser una mezcla de actividades de alto y bajo riesgo.No existe apetito de riesgo en términos de LA/FT
Moeller define apetito de riesgo como ‘‘(…) la cantidad de riesgo, a un nivel general, que una empresa y sus gerentes están dispuestos a aceptar para obtener valor’’. Posteriormente el autor indica que cada gerente o persona relevante y la organización como tal deben tener un determinado nivel de apetito al riesgo. Dicho apetito se puede medir de una forma cualitativa que puede ser baja, media y alta. Sin embargo, al menos formalmente, para el caso del riesgo LA/FT no existe un apetito de riesgo, pues ninguna entidad está dispuesta a aceptar de forma voluntaria y totalmente informada que la utilicen para lavar o financiar el terrorismo. Este apetito e riesgo es diferente al apetito al riesgo del negocio del cual se hace referencia en el anterior párrafo.El cumplimiento de objetivos
Según Moeller, la aplicación del ERM dentro de la organización –sin importar que tan bien esté planeado e implementado- no es garantía del cumplimiento de los objetivos de la organización, pues las organizaciones están expuestas a eventos fortuitos que impiden el cumplimento del 100% de sus objetivos. Tener esto en cuenta es útil para fijar las expectativas del ERM dentro la organización. Toda organización debe cumplir unos objetivos, como por ejemplo mantener una reputación positiva, proveer información financiera confiable y cumplir con las regulaciones. Según el autor la aplicación de Coso ERM debe ayudar a cumplir con los objetivos de la organización. Actualmente en Colombia existen varias normas de prevención LA/FT vigentes. El siguiente cuadro muestra los objetivos para tres de las normas:| Norma | Autoridad | Objetivo del Sistema |
| Circular 100 – 5 de 2014 | Superintendencia de Sociedades | El sistema de autocontrol y gestión del riesgo LA/FT tiene por objeto fundamental minimizar la posibilidad de que a través de las distintas actividades de la empresa se introduzcan recursos provenientes del lavado de activos o se financie el terrorismo. |
| Parte I Título IV Capítulo IV de la Circular Básica Jurídica | Superintendencia Financiera de Colombia | El Sarlaft tiene la finalidad de prevenir que las entidades vigiladas sean utilizadas para dar apariencia de legalidad a activos provenientes de actividades delictivas o para la canalización de recursos hacia la realización de actividades terroristas. |
| Circular Externa 170 de 2002 | Dirección de Impuestos y Aduanas Nacionales (Dian) | El Sipla que implementen las empresas destinatarias de la Circular debe contener medidas de control apropiadas y suficientes orientadas a evitar que la realización de cualquier operación cambiaria o de comercio exterior sea utilizada como instrumento para el ocultamiento, manejo, inversión o aprovechamiento, en cualquier forma, de dinero u otros bienes provenientes de actividades delictivas, para darle apariencia de legalidad a las transacciones y fondos vinculados con las mismas. |
El marco de Coso ERM/LA/FT
El marco de Coso ERM puede ser representado a partir de un cubo tridimensional con los siguientes componentes, los cuales son explicados por Moeller y complementados por infolaft así:
- Cuatro columnas verticales que representan los objetivos estratégicos del riesgo empresarial los cuales se puede asociar de la siguiente forma con la gestión del riesgo laft.
| Objetivos de la administración de riesgos | Equivalente con la gestión del riesgo LA/FT |
| Estrategia | El cumplimiento de la normatividad laft se antepone al cumplimiento de las metas comerciales. |
| Operaciones | Es necesario contar con una infraestructura tecnológica. |
| Información | La normatividad solicita una información mínima para poder desarrollar las actividades de gestión de riesgo LA/FT. |
| Cumplimiento | Existe un marco jurídico LA/FT aplicable para la entidad. |
- Ocho componentes horizontales de riesgo
| Componentes del riesgo | Equivalente con la gestión del riesgo LA/FT |
| Ambiente interno | Políticas de la entidad en materia LA/FT |
| Establecimiento de objetivos | Funciones del oficial o empleado de cumplimiento |
| Identificación de eventos | Etapa de identificación: levantamiento de eventos de riesgo LA/FT |
| Evaluación de riesgos | Etapa de medición: medición o evaluación del riesgo LA/FT |
| Respuesta a los riesgos | Etapa de control: aplicación de controles obligatorios |
| Actividades de control | |
| Información y comunicación | Reportes internos y reportes externos |
| Supervisión | Etapa de monitoreo: seguimiento del sistema |
- Varios niveles de la compañía, desde la casa matriz hasta las subsidiarias.
| Componentes a nivel de entidad y unidad | Equivalente con la gestión del riesgo LA/FT |
| Entidad | Políticas de la entidad en materia LA/FT |
| División | Oficial o empleado de cumplimiento |
| Unidad de Negocio | |
| Filial |
ERM dentro de la empresa
Según Moeller, sumado a la necesidad de nombrar o designar una persona encargada de velar por la administración del riesgo de la organización, CRO o director de riesgos, es necesario que el ERM sea administrado y comunicado a un grupo representativo de personas al interior de la organización. Adicionalmente, bajo el liderazgo del CRO se deben desarrollar políticas y estándares de riesgo que sean seguidas por las áreas de la organización. De acuerdo con el autor, para implementar una cultura de riesgo al interior de la organización es necesario cumplir los siguientes pasos:- Construir una cultura de conciencia del riesgo: la compañía puede comunicar y circular documentos, para crear conciencia de los riesgos, que vayan dirigidos tanto a ciertas funciones o riesgos externos. El objetivo es hacer que la exposición al riesgo de la empresa puede ser limitado a través de concientización y participan de los empleados en el programa de administración de riesgos. Para el caso de la prevención del riesgo LA/FT, la normatividad solicita a las entidades que realicen actividades de capacitación con determinadas condiciones.
- Creando la organización que administra riesgo: además del CRO es necesario contar con un grupo de personas que brinden apoyo a labor realiza por esta persona. Idealmente este debe estar conformado por profesionales que entiendan los riesgos que impactan la organización en determinada área y su técnicas para mitigarlo. En este caso la normatividad colombiana en materia LA/FT designa a un responsable para la administración de los sistemas de administración de riesgo laft o de los sistemas integrales, y también asigna funciones a otras personas relacionadas con la entidad.
- Políticas y estándares del ERM: se deben implementar y comunicar políticas y estándares en toda la organización. Dichos controles deben ser comunicados a todos los niveles de la organización y que las transacciones que realiza la empresa traen consigo riesgos asociados, y que por política la realización de esas transacciones no deben superar la tolerancia el riesgo de la empresa. Para el caso del riesgo LA/FT algunas normatividades en la materia proponen el uso de un manual de procedimientos el cual debe contener las políticas y estándares.
Conclusiones
Al realizar la comparación entre el sistema Coso ERM y algunos aspectos de la normatividad LA/FT es posible indicar que ambos no son incompatibles y por ello las organizaciones pueden administrar el riesgo LA/FT empleando Coso ERM. A partir del trabajo conjunto entre la gestión del riesgo LA/FT y Coso ERM se pueden derivar varios tipos de sinergias. Infolaft propone a continuación algunas:- Aplicación de las metodologías de Coso ERM en las etapas de gestión del riesgo LA/FT.
- En caso de que la organización esté empleando un software para la administración del riesgo enfocado a Coso ERM, existe la posibilidad de que este también se pueda emplear para el riesgo LA/FT.
- El recurso humano involucrado en Coso ERM que colabore en la identificación de riesgos y aplicación de medidas correctivas también puede ser involucrado dentro del proceso de gestión de riesgo LA/FT.
Libro Robert Mueller
