Artículo de Bismark Rodríguez
En los últimos meses, junto con mi equipo de trabajo, hemos estado inmersos en algunas implementaciones del nuevo marco de referencia COSO 2013 para el fortalecimiento de los sistemas de control interno, nos hemos involucrado en algunas implementaciones de modelos de riesgos para la prevención del lavado de dinero, hemos re-enfocado metodología de trabajo de riesgos operacional, en especial en materia de prevención de fraude y estamos implementando algunas soluciones automatizadas para monitoreo de riesgos y control. En todas estas iniciativas llevadas a cabo por diversas entidades financieras en la región ha estado presente la preocupación sobre si fortalecer riesgos y controles internos incide en hacer menos eficientes los procesos y modelos operacionales en uso y, por lo tanto, se pierde agilidad en la forma de hacer negocios. En todo caso, una preocupación válida. La vieja máxima “el costo de un control no debe exceder el beneficio que genera la actividad que se está ejecutando” nunca ha estado más vigente que ahora.
Veamos algunos temas que nos harán reflexionar sobre qué estamos haciendo para hacer resiliente a los mismos, el modelo de administración de riesgos y el sistema de controles internos de sus organizaciones:
► Incrementada supervisión regulatoria y nuevas normativas para cumplimiento;
► Reducciones de los márgenes de interés neto;
► Dificultad en el manejo de costos y gastos operacionales;
► Fugas en productos y procesos que generan ingresos perdidos o no percibidos;
► La búsqueda de segmentos de mercado y nichos donde ser líderes y más rentables;
► La gestión del talento y la necesaria creación de una cultura organizacional;
► La aparición de nuevos riesgos emergentes en materia de innovación tecnológica;
► Amenazas relacionadas con la cyber-seguridad y el fraude interno y externo.
Ante estos temas, las preguntas que la Alta Administración y la Junta Directiva deberían estarse formulado serían: ¿Qué estamos haciendo para atender los riesgos que traen consigo? ¿Tenemos estrategias para responder a estos riesgos? ¿Nuestro sistema de control se mantiene inmune a estos temas?
Por un lado, las partes interesadas al negocio de servicios financieros están requiriendo mayor protección del valor patrimonial, económico y reputacional de las organizaciones financieras. Por otro lado, organizaciones y grupos como Basilea, OCDE, GAFI, entes de supervisión regulatoria, entidades multilaterales de financiamiento, están subiendo la barra para mayores controles del riesgo del negocio y apostando a la sostenibilidad de los sistemas financieros y sus actores con estrategias de apalancamiento más conservadoras a las observadas en años anteriores. Este es “el caso de la eficiencia versus la protección en la industria de servicios financieros”.
Marco de Referencia de Control Interno: COSO 2013 –
La aparición de este nuevo marco de referencia está orientado a la aplicación de 17 principios de control repartidos en cinco elementos que estructuran el sistema de control interno sobre tres componentes claves: eficiencia operacional; reportes internos y externos y; cumplimiento de leyes y regulaciones; lo cual implicó la revisión en algunas organizaciones de temas diversos tales como: el enfoque de gestión de riesgos, la estructura de gobierno corporativo, la calidad de la reportería gerencial interna y externa, la efectividad de los sistemas de prevención de fraude y de lavado de activos, la cobertura de los planes de capacitación, entre muchos otros elementos.
Dado que existe ya mucha referencia en Internet y otros medios, sobre los detalles de este marco de referencia, haré énfasis en 5 elementos claves que creo pueden ayudar a reflexionar en cómo adaptar o adoptar un marco de referencia de control, sea COSO o sea cualquier otro:
- Asegurar la consistencia y factibilidad de un marco de referencia institucional: Esto sugiere definir una visión y una propuesta de valor del marco de referencia que será implantado o revisado, lo cual debe redundar en mantener políticas, procesos, riesgos identificados y medidos, y controles relevantes alineados en torno a los objetivos de negocio e iniciativas estratégicas.
- Cambiar comportamientos de forma sostenible: Trabajar en la cultura de control y riesgos. Llamémosle la cultura de la organización. Implica tener un programa de capacitación que entrene en controles desde una perspectiva operacional y de atención al cliente, orientada a solventar desviaciones y al mejoramiento continuo. No necesitamos entrenar en un marco de referencia a todo el personal de una organización. Es suficiente con enseñarles a gestionar riesgos y controles de forma práctica y eficaz.
- Implantar un modelo de líneas de defensa eficiente y lo menos costoso posible: Es necesario tener claridad en relación con la segregación de funciones a todo nivel, en la Junta Directiva y sus Comités, en las Unidades de Negocios y de Soporte, en las Unidades de Control y Prevención y en la Auditoría Interna. Asignar mejor los roles y tener en cuenta las capacidades actuales y las que se requerirán en el futuro.
- Integrar la visión de riesgos, procesos y controles: Significa que las Unidades de riesgos, Procesos, Control Financiero, Prevención del Lavado de Activos, Seguridad de la Información, Prevención de Pérdidas, Gestión de la Continuidad deben hablar el mismo lenguaje entre ellos y definir un lenguaje simple para comunicarse desde esas posiciones con el resto de la organización.
- Justificar la inversión con análisis sustentados: Es preferible saber si se cuenta (o no se tiene o si hace falta mejoras) con un sistema de control interno y de administración de riesgos con recursos humanos y de infraestructura que justifiquen la inversión en ellos vis a vis las incidencias de riesgos materializados que son atendidos y, en algunos casos, evitados. ¿Cuánto es el retorno de inversión en las unidades de control a través de la segunda y tercera línea de defensa? ¿Hasta dónde automatizar con soluciones GRC la función de riesgos, controles y auditoría interna? Estos son cuestionamientos que deben evaluarse de manera objetiva, basado en consideraciones del perfil de riesgo organizacional.
Modelo de tres líneas de defensa (3LD) –
El modelo 3LD realza el entendimiento del manejo de riesgos y controles mediante la asignación o clarificación de roles y responsabilidades a través de toda la organización. Este modelo es recomendado por COSO, el Instituto de auditores Internos, el Comité de Basilea y un sin número de instituciones de supervisión y regulación del sistema financiero en el mundo. El Modelo de 3LD debe ser guiado por la Alta Administración y vigilado por la Junta Directiva como una manera de asegurar la efectividad de la administración de riesgos y controles en la organización. ¿Cómo se ejemplifica esto de mejor forma? Quizá de manera sucinta podamos explicarlo así:
- La primera línea debe gestionar los riesgos y controles: La cultura de control debe enfocarse a que las Unidades de Negocio internalicen que ellas tienen la principal responsabilidad en materia de control. Este es un desafío mayor en las entidades financieras que con el paso del tiempo, las tendencias y las exigencias normativas han logrado, en muchos casos, ir siendo parte del esfuerzo de control y mejora continua.
- La segunda línea monitorea los riesgos y controles que soportan el manejo de las funciones de las Unidades de Prevención y Control: Estas unidades de riesgos, cumplimiento, control financiero, seguridad de la información y otras, deben compartir una infraestructura de la tecnología de la información (TI) y una base de datos para integrar esfuerzos, unificar métodos y trabajar en conjunto con las Unidades de Negocio y de soporte.
- La tercera línea de defensa tiene como misión proveer aseguramiento independiente a la Junta Directiva y a la Alta Administración con respecto a la efectividad del manejo de riesgos y controles: En este sentido la visión de la auditoría interna y sus capacidades actuales, deben servir para el análisis de aquellas áreas, subsidiarias, productos y servicios, infraestructura de TI relevantes y que inciden en la definición de una cobertura amplia del plan anual de la unidad que sirva a las expectativas de las partes interesadas y se alinee con la estrategia del negocio.
Quizá el beneficio del Modelo de 3LD radique en la creación de una cultura que permita que todos acepten y tomen responsabilidad por gestionar riesgos y asegurar controles desde diferentes posiciones: ejecutores, facilitadores, revisores, supervisores. A la vez, un modelo de 3LD eficiente, debería propiciar la interacción entre las unidades de negocio y soporte y las de control y prevención, para procurar la mejora continua y ayudar al alcance de los objetivos organizacionales por un lado, y por otro a brindar seguridad razonable o confort a accionistas, directores y reguladores sobre el control de los riesgos de la entidad y de su sostenibilidad. Además, el Modelo de 3LD puede permitirnos reevaluar la estrategia de los planes de sucesión y de gestión del gobierno corporativo de arriba abajo y desde abajo hasta la cima.
Eficiencia versus la protección: he allí el dilema –
En muchas organizaciones “riesgos y controles” es un tema de forma y de colores. El fondo y la razón parecen estar de lado. En algunos casos, parece que sólo interesa tener disponibles unas matrices de riesgos para cumplir con requerimientos regulatorios o de otra naturaleza. Los gestores de riesgos pretenden convencer a la Alta Administración y a la Junta Directiva que así, con matrices de riesgos, se gestionan los riesgos relevantes de la organización. La realidad parece indicarnos que gran cantidad de esa información de las matrices es imprecisa, desactualizada y desconocida por los gestores reales de los procesos y de las actividades de control. El enfoque de la gestión de riesgos necesita un revulsivo. Lo mismo, y como una consecuencia previsible, sucede con el sistema de control interno. La identificación de actividades de control relevantes en los procesos requiere mayor acuciosidad y rigurosidad en el diseño apropiado de los mismos para responder a las estrategias de mitigación de riesgos que sean necesarias.
Lo anterior nos lleva a las siguientes consideraciones en relación con la eficiencia del modelo operacional de gestión de riesgos y controles y el nivel de protección que estos sistemas de gestión deben proveer con base en el perfil de riesgo de la entidad:
- Apetito y tolerancia al riesgo: Más que una declaración filosófica, debe identificarse la capacidad de afrontar ciertos riesgos en la organización, reflexionar sobre hasta dónde queremos llegar con un objetivo, iniciativa o proyecto que implique productos y servicios generadores de ingresos, y establecer cuáles son los escenarios de riesgos máximos, para a partir de ese análisis identificar límites de tolerancia e ir atomizando los efectos de los riesgos que se materializan de manera inevitable.
- La identificación de riesgos relevantes: La identificación de riesgos nuevos o emergentes, la revisión de riesgos inherentes y ya relevados, debe responder a un proceso más disciplinado que no necesariamente muy extenso. Relevar riesgos a través de técnicas apropiadas, más sistemáticas y probadas se hace menester. Los análisis de causa-raíz, los análisis de causa-efecto, las técnicas de mejora continua o de calidad total, podrían ser utilizadas para asegurar que identificamos los riesgos que importan.
- La medición de los riesgos: El uso de herramientas y técnicas estadísticas, indicadores y ratios basados en relaciones de transacciones, importes y saldos que residen en los sistema y aplicaciones CORE será, por lejos, más confiables que un ejercicio de relevamiento subjetivo de probabilidad y severidad de los riesgos.
- El costo de un control: ¿se ha preguntado cuánto cuesta cada uno de sus controles? Es importante definir si el costo de un control no excede el efecto esperado de un riesgo. Esto sería como ir más allá del obligado ejercicio de análisis de costo-beneficio para justificar una actividad de control. La pregunta que debe hacerse la Alta Administración y la Junta Directiva es si, en su organización, los gestores de riesgos están efectuado este análisis, si en las unidades de procesos y control se cuestiona la justificación de una actividad de control, y si hay una forma de asegurar que se cuentan con los controles necesarios asociados el nivel de riesgos al que se está respondiendo. En ambientes altamente regulados, como el sector de servicios financieros, suele sobre-reaccionarse a la hora de definir y establecer controles.
- Monitorear riesgos y controles: El monitoreo de riesgos y controles a través de Indicadores de Riesgos Clave (KRI) o Indicadores de Control Clave (KCI) requiere mayor automatización y explotación del maestro de clientes y transacciones de los sistemas y aplicaciones. El seguimiento de estos indicadores, el escalamiento a los dueños de riesgos y controles, las medidas de remediación y la identificación de mejoras continuas y lecciones aprendidas será más efectiva, y dejará más espacio para la eficiencia.
El desafío para las organizaciones de servicios financieros en materia de control, gobierno y riesgos siempre será exigente. Pero la forma como se enfrente ese reto definirá de qué manera cada organización está en la capacidad de alcanzar sus objetivos de negocios de forma más eficiente. Ir más allá de lo obvio, ayudará a cerrar la brecha entre lo que es eficaz, requerido, eficiente e inteligente.
