A lo largo de toda la regulación de prevención de Blanqueo de Capitales, Financiamiento de la Proliferación de Armas de Destrucción Masiva (BC/FT/FPADM) se establece el requerimiento de diseñar controles y medidas de prevención con un Enfoque Basado en Riesgos (EBR). No obstante, para la mayoría de los nuevos sujetos obligados a cumplir con estas regulaciones este concepto es tanto novedoso como confuso.
En la normativa se establece que el EBR es el proceso por el que se adoptan medidas y controles acordes con los riesgos que pueden afectar a la empresa para velar que se focalicen esfuerzos a las áreas más vulnerables, procurando que el aprovechamiento eficiente de los recursos requeridos para ejecutar dichas medidas y controles.
La norma ISO 31000 define 'riesgo' cómo el efecto de la incertidumbre sobre los objetivos. En términos más sencillos se trata de cualquier situación no prevista que afecta negativamente a sistemas, procesos, planes y negocios. Por tanto, para aplicar el EBR al cumplimiento y prevención de BC/FT/FPADM hay que prever o anticipar todos los factores, circunstancias y amenazas relacionados que pudieran impedir, interrumpir, dificultar o paralizar las operaciones del negocio y posteriormente diseñar controles y medidas para evitar, detectar o mitigar los efectos de los riesgos.
No obstante, la previsión y anticipación de los riesgos no se realiza por adivinación o conjeturas sino mediante la aplicación de metodologías estructuradas de Gestión de Riesgo, como la nombrada norma ISO 31000 o la metodología COSO ERM. En el caso de la norma ISO 31000 la metodología considera los siguientes pasos:
1. Análisis de Contexto, que corresponde a un análisis estratégico para lograr una comprensión del ambiente y entorno interno y externo en el que funciona la empresa y que factores pueden generar amenazas y riesgos.
2. Identificación de los Riesgos, para determinar y definir las amenazas y factores que pueden afectar a la empresa, en especial los vinculados con delitos de BC/FT/FPADM.
3. Análisis de los Riesgos, para determinar los atributos y particularidades de cada riesgo y determinar su magnitud medido en términos de sus consecuencias y la probabilidad de ocurrencia. La magnitud del riesgo identificado es el denominado 'riesgo inherente'.
4. Evaluación de los Riesgos, comparando los riesgos identificados con criterios, factores, normas y mejores prácticas, de forma que se pueda tomar decisiones sobre la aceptación y apetito para tomar los riesgos.
5. Tratamiento de los Riesgos, diseñando los controles y medidas que procuren evitar, detectar, medir o mitigar los riesgos y sus efectos. En este punto se debe definir el nivel de riesgo residual, que corresponde a la magnitud de riesgo que se mantiene en retención luego de aplicar e implementar los controles y medidas diseñadas.
En la norma ISO 31000 se establece el requerimiento y obligación de monitorear y revisar la aplicación de la metodología y sus resultados, la aparición cambios en el contexto y la generación de nuevos riesgos. El monitoreo puede ser tanto planificado o a la detección de situaciones especiales. Igualmente, debe mantenerse canales de comunicación y consulta durante toda ejecución de la metodología para asegurar la comprensión de la metodología y para generar conocimiento útil para el análisis.
Al margen de que la aplicación del EBR es una obligación regulatoria sus resultados pueden ser valiosos para la gestión estratégica y operativa del negocio. Es responsabilidad del oficial de cumplimiento adaptar la metodología al giro de negocios y tamaño de la empresa y determinar los riesgos inherentes y diseñar, junto con la alta gerencia, los controles y medidas para mitigarlos.
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.