Control de riesgos: tipos, formulación, efectividad

Controles preventivos:

Controles orientados a reducir la probabilidad de ocurrencia de un evento de riesgo, se aplica directo a la causa del riesgo. Se busca evitar el evento de riesgo por lo que se anticipa a los hechos, de esta forma se evitará el costo de estar corrigiendo.

Ejemplo: Aplicar el formulario de debida diligencia antes de establecer un relación comercial o contractual con un cliente.

Controles detectivos:

Controles orientados a la detección del riesgo, disminuyen la probabilidad y el impacto. Estos controles se enfocan en las alertas en situaciones que parecen ser anormales.

Ejemplo: Mecanismos para detectar movimientos inusuales en transacciones y reportar las operaciones sospechosas.

Controles correctivos:

Controles orientados a reducir el impacto ante la materialización del riesgo, se enfoca en revertir los efectos ocasionados.

Ejemplo: Elaborar un plan de acción inmediato para comunicación y requerimiento de información de un cliente, en el caso de encontrar una señal de alerta.

 

En la administración de riesgos de LA / FD, se busca que siempre los controles sean de tipo preventivos y para mejorar su eficacia se incorporarán controles detectivos. Posteriormente, se podrían complementar con controles correctivos.

 

Elementos para la formulación de un control adecuado

Descripción:

En primer lugar, se debe responder a lo siguiente ¿Qué hace el control? ¿Cuál es el objetivo?

El control debe enfocarse a prevenir las causas que originan el riesgo o detectar el riesgo a tiempo para poder mitigarlo. Se previene un riesgo mediante la verificación, validación, conciliación, comparación, etc. No se debe confundir un control con una actividad.

Responsable:

Debe existir un responsable de ejecutar el control, puede ser una persona o un sistema. No se debe poner áreas de forma general, cuando el responsable es una persona se deberá señalar específicamente el cargo del responsable, cuando corresponde a un sistema se deberá detallar el nombre del aplicativo.

Periodicidad:

Se debe indicar si la periodicidad de ejecución del control es diaria, mensual, trimestral, semestral, anual, etc. En algunas ocasiones no necesariamente es periódica, sino que ocurre cada vez que se presenta una determinada actividad o es automática, en estos casos, de igual forma estos particulares deben estar claramente señalados.

Evidencia:

El control debe dejar evidencia de su ejecución. Esta evidencia ayuda a la revisión por parte de un tercero que puede ser el regulador o un auditor. Gracias a la evidencia o entregable, quien realiza la revisión podrá evaluar que el control fue ejecutado correctamente y que se han cumplido con los parámetros establecidos. Por ejemplo: Informes, reportes, correo electrónico.

Tratamiento a las desviaciones:

Puede ocurrir que se presenten situaciones que no permiten cumplir adecuadamente con el control, por lo que antes de continuar se deberá subsanar una determinada situación. El desarrollo de esta sección debería estructurarse con la siguiente expresión: En caso de que (desviación presentada) se procederá a (descripción de la subsanación).

Ejemplo:

Cada vez que se va a realizar un pago, el sistema SAP valida que el proveedor al cual se le va a girar el pago no esté reportado en listas restrictivas, comparando el número de identificación tributaria (NIT) o cédula con la información cargada en el aplicativo de las listas de clientes reportados en temas de lavado de activos y financiación del terrorismo. En caso de encontrar coincidencias el sistema no permite realizar el pago. Como evidencia queda la programación interna del aplicativo y el reporte de coincidencia con listas restrictivas.

Efectividad de los controles

Controles fuertes: Cuando los controles están operando adecuadamente y cumpliendo con su función de mitigadores de riesgos. Estos controles han reducido el riesgo inherente a niveles aceptables de riesgo residual.

Controles moderados: Cuando los controles están presentando dificultades en su objetivo de mitigadores de riesgo y se requiere realizar ajustes para mejorar su funcionamiento.

Controles débiles: Cuando los controles no están cumpliendo el propósito de mitigadores de riesgo, para lo cual fueron diseñados e implementados.

Proceso de tratamiento de riesgos

Identificar las opciones de tratamiento: Listar cuales son todas las posibles opciones que podrían mitigar el riesgo

Evaluar las opciones de tratamiento: Determinar el costo – beneficio para implementar un control. Evaluar si los controles implementados para mitigar el riesgo son efectivos.

Seleccionar las opciones de tratamiento: Analizar cuáles son las prioridades (riesgos altos y críticos) para el tratamiento, en función a ese análisis determinar cómo se va a asignar el presupuesto para los recursos requeridos.

Preparar los planes de tratamiento o planes de acción: Se deberá establecer y documentar los siguientes puntos:

El responsable de la implementación del plan de tratamiento

Los recursos de personal e infraestructura disponibles que se va a usar

La asignación del presupuesto

El cronograma de implementación

El cronograma con el detalle del mecanismo y frecuencia de la revisión de cumplimiento del plan de tratamiento.

Implementar los planes de tratamiento: Un plan de tratamiento o plan de acción es un conjunto de actividades asociadas que permiten reducir la materialización de los riesgos. Debe existir claridad en las partes involucradas respecto a la implementación.