En este artículo, conocerá el segundo elemento de un programa eficaz de cumplimiento de sanciones: La Evaluación del Riesgo de Sanciones (SRA).
Uno de los propósitos de las Evaluaciones de Riesgo es examinar los diversos regímenes de sanciones que pueden aplicarse a la actividad de un cliente. El programa de sanciones es amplio y puede ser muy específico, por lo que las evaluaciones de riesgo son muy importantes, y pueden aplicarse a sectores muy diferentes.
Recomendación de la OFAC
En cualquier régimen de cumplimiento, el punto de partida es una evaluación de riesgos. Esto no es diferente y ciertamente no es una sorpresa en el Marco. La propia OFAC «recomienda que las organizaciones lleven a cabo una evaluación de riesgos rutinaria y continua para informar sobre sus políticas, procedimientos, controles internos y formación del programa de cumplimiento». A este respecto, la OFAC explicó que dicha evaluación de riesgos debe consistir en una «revisión holística de la organización de arriba a abajo y evaluar sus puntos de contacto con el mundo exterior».
Componentes clave de la SRA
Hay cuatro elementos/componentes clave que engloban una Evaluación del Riesgo de Sanciones (SRA):
- Alcance y metodología
- Adquisición de datos
- Análisis de datos y determinación del riesgo
- Intercambio de resultados y comunicación con las partes interesadas
Diferencia entre la evaluación del riesgo de cumplimiento general y de las sanciones
Como es de esperar, una evaluación del riesgo de cumplimiento de sanciones debe tener un enfoque ligeramente diferente del riesgo que una evaluación general del riesgo de cumplimiento. En una evaluación general del riesgo de cumplimiento, se suelen evaluar los siguientes elementos de una organización: Clientes, cadena de suministro, intermediarios y contrapartes; los productos y servicios que ofrece la organización; la ubicación geográfica de la organización, así como de sus clientes, cadena de suministro, intermediarios y contrapartes; y las posibles fusiones y adquisiciones.
Consideraciones sobre la evaluación del riesgo de cumplimiento de las sanciones
Ahora pasemos a la evaluación del riesgo de cumplimiento de sanciones.
En primer lugar, hay que tener en cuenta no tanto cómo se hacen los negocios sino con quién se hacen. Se trata de un enfoque del riesgo ligeramente diferente al de las evaluaciones de riesgo de otras áreas de cumplimiento. Por ejemplo, en una evaluación del riesgo de soborno y corrupción, se centraría más en el uso de agentes externos, distribuidores u otros para vender a funcionarios extranjeros o empresas estatales.
En segundo lugar, tiene que adoptar una visión mucho más holística de sus productos y servicios. Esto implica que evalúe lo que vende, dónde lo vende y cómo lo vende. Sin embargo, desde el punto de vista del impacto global de la empresa, ésta es sin duda una manera mucho más impactante de evaluar el riesgo.
En tercer lugar, debe tener en cuenta a sus «clientes, cadena de suministro, intermediarios y contrapartes», pero esta vez desde su domicilio o desde el lugar donde le suministran bienes o servicios. En esta era de creciente transparencia en torno a los minerales extractivos y de otro tipo, saber de dónde proceden sus productos y servicios ha pasado de ser un bonito dato a una consulta obligatoria.
Por último, hay que arriesgarse a evaluar todos los candidatos a fusiones y adquisiciones. No sólo hay que mirarlas desde la perspectiva de la ética y el cumplimiento, sino también desde la perspectiva de las sanciones comerciales. Obviamente, no todas las empresas que su organización podría desear adquirir podrían no haber implementado siempre el adecuado cumplimiento de las sanciones o el control de las exportaciones, por lo que tendrá que estar preparado para remediarlo lo antes posible.
Otras consideraciones
Por lo tanto, la siguiente consideración para una evaluación del riesgo de las sanciones es determinar una forma y una frecuencia que den cuenta adecuadamente de los riesgos potenciales. Debe actualizar su evaluación de riesgos para tener en cuenta las causas fundamentales de cualquier infracción aparente o deficiencia sistémica identificada por la organización durante el curso rutinario de las actividades. Además del componente de fusiones y adquisiciones, debería haber un ejercicio similar para terceros, por ejemplo, a través de un proceso de «Conozca a su cliente» o «Diligencia debida del cliente».
Esta información servirá para orientar el calendario y el alcance de las futuras actividades de diligencia debida. Esto significa que debe desarrollar un protocolo para la calificación del riesgo de los clientes, proveedores u otras relaciones, basado en el proceso de diligencia debida y la investigación independiente realizada por la organización al inicio de la relación. Esta información servirá para orientar el calendario y el alcance de las futuras actividades de diligencia debida.
Desarrollar una metodología para identificar los riesgos
Por último, pero no por ello menos importante, cada organización debe desarrollar una metodología para identificar, analizar y abordar los riesgos particulares que identifique. Según proceda, la evaluación de riesgos se actualizará para tener en cuenta la conducta y las causas fundamentales de cualquier infracción aparente o deficiencia sistémica identificada por la organización durante el curso rutinario de las actividades. Esto puede hacerse, por ejemplo, a través de una función de prueba o auditoría. En otras palabras, no puedes sentarte ni quedarte quieto. Al igual que su empresa está en constante evolución, su evaluación de riesgos debe evolucionar para adaptarse a las oportunidades y los retos empresariales.
Reflexiones finales
Al realizar las evaluaciones de riesgo de las sanciones, se debe considerar la probabilidad de que su cliente pueda estar en la lista de sanciones. Por lo tanto, las organizaciones deben desarrollar una metodología para identificar y analizar los riesgos particulares y debe tener una capacidad para abordar el riesgo particular que identifica.
