La gestión de riesgos ¿Cómo la hace? ¿En equipo con las áreas líderes de proceso, o solo porque usted es el Oficial de Cumplimiento? ¿Utiliza un software empresarial o las bondades de Excel?
Recordemos que la Gestión de Riesgo tiene el fin último de establecer el apetito de riesgo de una empresa. Cuando se trata de riesgo de crédito, liquidez, solvencia o, inclusive nivel de endeudamiento de los clientes. Puede ser una tarea bastante rutinaria y predecible, con estadísticas del sector y datos históricos de eventos ocurridos.
Ahora bien, cuando se trata de #Lavado de Dinero, Financiación al Terrorismo o de la Proliferación de Armas de Destrucción Masiva, la Gestión de Riesgos es un poco más complicada, ya que muy pocas veces hay históricos de eventos ocurridos, ni mucho menos estadísticas del sector. Nadie quiere divulgar que se le ha materializado un riesgo LA/FT.
Las normas y los profesionales dedicados a estos temas mencionan con mucha recurrencia que el #Lavado de Dinero o el #Llavado de Activos, debe prevenirse con base en riesgos, pero tenemos claro en el Perú que quiere decir eso.
En palabras simples, con base en riesgo es, ante la ejecución de procesos con clientes, jurisdicciones, canales o productos de mayor riesgo LA/FT, más controles. Entiéndase bien, no es más controles siempre, sino los controles serán impuestos considerando los riesgos; por ejemplo:
- Para todos sus clientes personas naturales solicita DNI o Carné de Extranjería y domicilio verificable., pero para extranjeros requiere soporte de ingresos laborales y dos recomendaciones personales verificables con dirección y teléfono.
- Para todos sus proveedores requiere RUC, y Certificado literal de la partida registral de la persona jurídica, pero para aquellos ubicados en Bellavista, además solicita copia simple del testimonio de constitución.
- Para todos los clientes actualiza datos una vez al año, pero para quienes utilizan los servicios de cambio de divisas o cualquier servicio de moneda extranjera, actualiza los datos trimestrales.
- Para todos los clientes la actualización de datos es virtual, pero para quienes utilizan el servicio de Alquiler de Casillero de Seguridad, se les hace la visita una vez cada seis meses.
Entonces, los controles serán en función de las características propias del negocio, lo cual estipulan las normas en Perú y obviamente los estándares internacionales como las 40 Recomendaciones del GAFI.
¿Dónde quedan enumerados estos controles?
Resaltados en azul índigo, en los numerales anteriores, en una Matriz de Riesgo, preferiblemente desarrollada utilizando como referente la norma internacional ISO 31000, la cual abarca cuatro pasos básicos: i.- identificación de riesgos, ii.- análisis o evaluación (medición) de riesgos; iii.- tratamiento (controles) de los riesgos; iv.- seguimiento y Monitoreo de los riesgos
Las cuatro etapas señaladas en el párrafo precedente componen la matriz de riesgo; no pareciera correcto decir Matriz de identificación de riesgos o Matriz de evaluación de riesgos, porque sería solo una de las etapas que componen toda la gestión del riesgo.
La primera etapa, identificación del riesgo, es la base de todo el proceso. Hacer la identificación junto con los líderes de los procesos, es lo que debería hacer el Oficial de Cumplimiento en Perú. A veces se cree que siendo la persona que más conoce del tema debe hacer la matriz de riesgo solo.
Esto no lo recomendamos, puede que en cada área haya situaciones o hechos pasados que el Oficial de Cumplimiento no conozca, además es una oportunidad de relacionarse con las distintas áreas de la compañía y vender la idea de cumplimiento, de que prevenir vale la pena. Igual manera, revisar el tratamiento de riesgos o el establecimiento de controles, ya que serán dichos líderes y su equipo quienes tengan que ejecutar la mayoría de los controles estipulados.
Las etapas de evaluación del riesgo y de seguimiento y monitoreo, son actividades que sí pueden ser responsabilidad exclusiva del Oficial de cumplimiento.
Una vez lista la matriz. ¿qué hacemos? Seamos honestos, tenemos una matriz de riesgo en Excel que abrimos cuando llega el ente de control o la auditoría interna o, con una periodicidad, por ejemplo, trimestral revisamos ese archivo de Excel, para realizar prueba de controles que se deben estar ejecutando con ocasión de dicha matriz de riesgo.
Hagamos una gestión eficiente de administración de riesgo, considerando realizar pruebas de controles, sabemos que, en Excel, correo, y a veces hasta un cuaderno de notas, pueden ser complicado.
Entonces les invitados a buscar un Software gestión empresarial, que le permita tener la trazabilidad del proceso de administración de los riesgos, la identificación de riesgos y de los controles, la evaluación realizada, los resultados de las pruebas de controles, asignar responsabilidades a quienes administración del riesgo y/o ejecutan el control.
No es coherente en el siglo XXI, en un mundo donde ya hay un automóvil de conducción automática, que aun administremos riesgo en Excel. Conozca nuestro Software de Gestión de Riesgos SOFRISK AQUÍ y toma la mejor decisión empresarial en administración de riesgos.
