Este artículo explica los «requisitos de cumplimiento». Para mejorar y reforzar continuamente el sistema de control interno, la dirección realiza periódicamente actividades para identificar las leyes y reglamentos aplicables actuales y nuevos. El sistema general de control interno de una organización debe respaldar el cumplimiento de los requisitos reglamentarios y legales que la organización debe cumplir.
¿Qué es el riesgo de cumplimiento?
El riesgo de cumplimiento es el riesgo de incumplimiento de las leyes y reglamentos aplicables. El incumplimiento de estas leyes y reglamentos puede llevarles a sufrir pérdidas financieras, de reputación y de cuota de mercado, ya que los clientes pierden la confianza en la organización.
Las funciones y los procesos en los que los reguladores imponen requisitos de cumplimiento importantes son áreas en las que una organización debe establecer controles internos sólidos para evitar sanciones, investigaciones y procedimientos de aplicación. Son los procesos en los que el nivel de tolerancia se fija en un mínimo o en cero.
Por ejemplo, no se debe abrir una cuenta si no se ha completado el proceso de diligencia debida del cliente. Por lo tanto, la realización de un proceso de diligencia debida adecuado es un control clave e importante en el proceso de apertura de cuentas.
Control de las transacciones
Otro proceso crítico, que se relaciona principalmente con los bancos y las instituciones financieras, es la supervisión de las transacciones, en la que las transacciones de los clientes se controlan de forma regular para identificar cualquier transacción o actividad sospechosa en las cuentas de los clientes. La investigación de las transacciones y actividades de los clientes, debido al incumplimiento del umbral de transacciones incorporado en el sistema de supervisión de la lucha contra el blanqueo de capitales, es una actividad de control importante. La realización de una actividad de control de este tipo es un requisito reglamentario en muchos países del mundo.
El riesgo de cumplimiento está en su mayoría interrelacionado con otras categorías de riesgos a los que se enfrenta una organización porque a menudo se solapa con actividades o fuentes de riesgo similares. Sin embargo, con el fin de evaluar un perfil preciso de la evaluación del riesgo de cumplimiento en toda la entidad, el riesgo de cumplimiento debe medirse y gestionarse por separado de otras categorías de riesgos.
En algunas áreas de una organización, una sola actividad de un negocio puede dar lugar a múltiples fuentes de riesgo. Por ejemplo, la evaluación del riesgo del prestatario es un requisito de cumplimiento normativo, pero también puede requerir la evaluación y el análisis del prestatario para la gestión del riesgo de crédito. En este ejemplo, los riesgos de una sola actividad (captación inadecuada de la información del prestatario) pueden dar lugar a múltiples eventos de pérdida, y por lo tanto, es una fuente de múltiples riesgos, incluyendo el riesgo de crédito (riesgo de pérdida del importe del préstamo) y el riesgo de cumplimiento (riesgo de sanciones reglamentarias).
Tres categorías de riesgo de cumplimiento
En la práctica, existen esencialmente tres grandes categorías en las que se pueden clasificar los eventos de pérdida por riesgo de cumplimiento:
- Riesgo Estratégico: Esta categoría comprende los riesgos que pueden tener un impacto en las operaciones estratégicas de una organización, como la cancelación de licencias de productos o las restricciones del mercado.
- Riesgo de reputación: Esta categoría describe los daños a la reputación en caso de una cobertura mediática adversa o cualquier otra noticia negativa, que podría conducir a una pérdida de clientes y asociaciones.
- Riesgo financiero: Esta categoría comprende los riesgos y acontecimientos que pueden surgir como resultado de enfrentarse a sanciones financieras o multas impuestas por las autoridades reguladoras u otros organismos de aplicación pertinentes para una organización concreta.
Dependiendo del tamaño de la organización y de la complejidad de las operaciones comerciales, el consejo y la dirección identifican las leyes y reglamentos aplicables que la organización debe cumplir. Por lo general, el nivel de tolerancia se establece como cero por el consejo de administración y la dirección para garantizar que los empleados se toman las normas y reglamentos muy en serio y cumplen las disposiciones aplicables en letra y espíritu. Las organizaciones toman diversas medidas para controlar los riesgos de incumplimiento de las leyes, reglas, reglamentos y estándares aplicables.
Para ello, las organizaciones suelen contar con un procedimiento sistemático para hacer frente a las nuevas leyes, reglamentos y normas que se publican o a la actualización de los reglamentos existentes. Las nuevas normativas o actualizaciones en la mayoría de los casos suponen un avance, pero en algunos casos para las organizaciones supone un tiempo y un esfuerzo considerable aplicar los cambios, lo que da lugar al riesgo de incumplimiento.
Requisitos reglamentarios
Hay varios tipos de organizaciones a las que se aplican diferentes requisitos reglamentarios.
Por ejemplo, las instituciones financieras están expuestas a niveles de cambio sin precedentes en los requisitos reglamentarios debido a las secuelas de las crisis financieras mundiales. Por muy estricta que sea la normativa, las instituciones financieras deben mantener un apetito de riesgo cero en lo que respecta a la conformidad. Los bancos se consideran las organizaciones más reguladas. Entre las normativas ejemplares que los bancos deben cumplir en todo el mundo se encuentran la normativa contra el blanqueo de capitales, la de gestión de riesgos, la de gestión de las relaciones con los clientes, la de banca por Internet y la de protección de datos. Todas estas normas deben ser cumplidas por el banco del que es responsable la dirección del banco.
Otro ejemplo se refiere a las organizaciones que realizan actividades de comercio electrónico. A estas organizaciones se les suele exigir que garanticen el cumplimiento de normativas tales como la de protección de datos, la de lucha contra el blanqueo de capitales y otros tipos de normativas.
Reflexiones finales
Con el fin de mejorar y reforzar continuamente el sistema de control interno, la dirección lleva a cabo actividades destinadas a identificar las leyes y reglamentos aplicables actuales y nuevos. Este artículo explica los «requisitos de cumplimiento».
