fbpx

Evaluación del riesgo de cumplimiento de la normativa

Posted in Controles internos, Gestión de riesgos on diciembre 18, 2023
Share 0
Tweet 0
Share 0
1 86

Llevar a cabo una evaluación del riesgo de cumplimiento de la normativa es muy importante para construir un entorno de controles internos. Para construir y gestionar adecuadamente los controles de cumplimiento en una organización, la dirección debe implementar un proceso en un sistema general de control interno, donde los riesgos de cumplimiento se evalúan periódicamente.

Realización de una evaluación del riesgo de cumplimiento de la normativa

La nueva normativa o las actualizaciones reglamentarias suponen, en la mayoría de los casos, un avance, pero en algunos casos, para las instituciones financieras, como los bancos, se necesita un tiempo y un esfuerzo considerables para aplicar los cambios, lo que da lugar al riesgo de incumplimiento.

Desde la introducción de una nueva normativa hasta la fase final de evaluación y agregación de riesgos en toda la entidad, las organizaciones deben realizar múltiples pasos para gestionar eficazmente el riesgo de cumplimiento. Estos deben ser formulados, documentados y aplicados.

Para llevar a cabo una evaluación del riesgo de cumplimiento de la normativa, sería práctico dividirla en cuatro etapas, y cada una de ellas tendría múltiples pasos.

Evaluación Del Riesgo De Cumplimiento De La Normativa
Etapa 1 – Nueva normativa

En la primera etapa, el regulador publica un nuevo reglamento o proporciona una actualización o modificación de un reglamento existente. Una organización, o un departamento particular dentro de una organización, como la función de cumplimiento, debe entonces estar lo suficientemente atenta para captar toda la normativa aplicable, realizar una evaluación normativa y actualizar su repositorio normativo respectivamente. También es responsabilidad del departamento encargado informar a la unidad de negocio correspondiente sobre la nueva normativa o actualización. Por ejemplo, una nueva normativa relativa a los requisitos de liquidez requeriría que el departamento encargado enviara una alerta al departamento de tesorería para que éste abordara el requisito diseñando los controles pertinentes.

Etapa 2 – Identificación de riesgos

La segunda etapa se realiza periódicamente, independientemente de que se publique o no un nuevo reglamento. Esto se debe a que las organizaciones están en constante evolución y una organización concreta puede quedar expuesta a una determinada normativa debido a un cambio en su tamaño o a su oferta de productos o servicios. Por ejemplo, algunas normativas pueden ser aplicables únicamente a carteras de crédito específicas, como la financiación de infraestructuras o el crédito agrícola.

La empresa debe identificar los riesgos de cumplimiento de los nuevos requisitos normativos junto con la revisión de la evaluación inicial de los riesgos de cumplimiento inherentes. Además, un departamento, como el de cumplimiento normativo, debe encargarse de poner de relieve el cambio en el entorno normativo y realizar una evaluación inicial de los riesgos inherentes a los requisitos normativos aplicables. Por otro lado, las funciones de negocio deben ser responsables de identificar los riesgos asociados debido a los cambios en los productos o servicios y desarrollar controles de mitigación. El departamento de cumplimiento debe revisar el diseño de control realizado por la función empresarial para la nueva normativa.

Las organizaciones también deben remitirse a las principales fuentes de identificación del riesgo de cumplimiento (como la identificación de infracciones por parte de la gestión de riesgos, las observaciones de las auditorías internas y las observaciones de las inspecciones reglamentarias) para identificar los riesgos de cumplimiento no abordados.

Etapa 3 – Evaluación del riesgo

Una vez que la función de cumplimiento ha identificado las fuentes de riesgos de cumplimiento y la normativa aplicable, el siguiente paso es medir o evaluar el riesgo inherente a la nueva normativa.

Para ello, las organizaciones deben utilizar múltiples herramientas y técnicas, como el análisis de escenarios y los datos históricos de pérdidas internas, para estar en condiciones de evaluar la probabilidad y el impacto de los riesgos de cumplimiento.

Aunque la evaluación del impacto y la probabilidad del riesgo de cumplimiento en una organización conlleva una cantidad sustancial de subjetividad, deberían definirse algunas medidas generales, que pueden incluir el impacto financiero, de reputación y estratégico en la organización.

El siguiente paso en esta etapa es evaluar el riesgo residual en función del riesgo inherente y de los controles pertinentes que la organización pueda tener contra esos riesgos. Los controles se evalúan en función de la solidez de su diseño y de los resultados de su eficacia operativa. La evaluación del diseño se realiza comparando los objetivos de un control y su diseño con los requisitos reglamentarios y evaluando si es teóricamente lo suficientemente fuerte como para captar todas las expectativas del regulador.

La evaluación de la eficacia operativa conlleva un análisis empírico (realizado mediante un ejercicio de prueba por muestreo) para evaluar si los controles funcionan de la manera necesaria para cumplir su objetivo y para evaluar los retos de su aplicación.

El resultado de la realización de los análisis mencionados proporcionaría los dos componentes de entrada necesarios para calcular la calificación de riesgo residual para cada riesgo. El índice de riesgo inherente se multiplicaría por el índice de eficacia del control para obtener el índice de riesgo residual.

Etapa 4 – Tratamiento del riesgo

Por último, la organización debe decidir cómo tratar los riesgos residuales específicos. Esto requeriría que el consejo de administración y la dirección diseñaran planes de acción para los riesgos residuales. Normalmente hay cuatro opciones para tratar el riesgo residual en una organización. El riesgo residual restante puede mitigarse, aceptarse, evitarse o transferirse. Sin embargo, el apetito de riesgo de cumplimiento de una organización es a menudo nulo y el riesgo de cumplimiento de cualquier tipo podría no ser aceptado por una organización. Los riesgos de cumplimiento tampoco pueden transferirse a otras organizaciones (como suele ocurrir con otros riesgos operativos mediante seguros u otras medidas).

En la mayoría de los casos, las organizaciones optan por mitigar el riesgo residual para el que hay que diseñar un plan de tratamiento de riesgos bien planificado. El tratamiento eficaz de los riesgos se basa en el compromiso con unos objetivos y unos plazos de aplicación realistas. Tendencias, que permiten a una unidad de negocio identificar las acciones correctivas y, en su caso, aplicar cambios para reducir o eliminar las exposiciones de riesgo realizadas o potenciales. Los indicadores de retraso se fijan en función de los controles de detección y corrección.

Por ejemplo, una tendencia creciente en el número de veces que se ha incumplido un plazo de información reglamentario en el pasado debería alertar a una institución financiera de la necesidad de mejorar los controles relacionados para tomar medidas correctivas para cumplir los plazos de información y evitar el incumplimiento.

Reflexiones finales

Las empresas deben llevar a cabo las ACC para identificar y evaluar los riesgos de la entidad. Sobre la base de la evaluación, la entidad identificará cualquier ineficiencia en el sistema y aumentará los esfuerzos de cumplimiento para mejorar el sector «problemático». Las empresas suelen llevar a cabo diversas evaluaciones, pero el riesgo de cumplimiento es uno específico que se centra en el cumplimiento de las leyes aplicables por parte de la empresa.

 Previous
Next