Cómo establecer un programa de cumplimiento sin afectar el valor agregado del negocio

Afirmó Bismark Rodríguez que “Para muchas entidades cumplir con las normativas que establece el regulador se convierte en un elemento clave como impulsor de la imagen y reputación de la organización de cara al mercado en el que se desempeña.Pero alcanzar este nivel no es fácil y requiere visión y agilidad para lidiar con los desafíos que impone un ambiente competitivo, cambios tecnológicos constantes, una demanda cada vez más exigente respecto a eficiencia y flexibilidad, entre otros retos”.Bismark E. Rodríguez, es consultor y conferencista en temas relacionados a riesgos de negocio, tecnología aplicada a procesos y estrategia empresarial. Es socio de Risk Advisory para EY en la región norte de Latinoamérica y miembro del International Internal Auditing Standards Board (IIASB), órgano que establece las normas internacionales de auditoría interna a través de The IIA Global.¿Cómo establecer un programa de cumplimiento y no afectar la oferta de valor agregado del negocio?-Como en el libro de Brian Weiss; Muchas Vidas, Muchos Maestros, un programa de cumplimiento regulatorio esta signado por los propios karmas del sector y los traumas pasados que el mercado aun tiene en su mente por las recientes y viejas crisis financieras, fraudes corporativos y quiebras escandalosas.Situaciones como estas hacen que aparezcan y se promulguen no sólo nuevas normas regulatorias, sino también mejores prácticas que nos llegan en la forma de «Marcos de Referencia». Esto, crea problemas importantes en las organizaciones en las que se vive en silos y a merced de sabios organizacionales que manejan a su discreción marcos de referencia como COSO, Cobit, ITIL, ISO, Basilea, ERM, entre muchos otros y conviviendo todos en perfecto caos.¿Quién ordena y racionaliza el esfuerzo de esto? Y a la vez evitar que GRC sea conocido como Generalized Risk Confusion.-Existen elementos de valor que pueden considerarse a la hora de dimensionar el esfuerzo de implementación de un programa de cumplimiento. Estos cuatro elementos son, a mi parecer: 1.- Fragmentación de las unidades del negocio: La poca comunicación que no permite visualizar sinergias y optimizaciones a veces tan evidentes como intangibles. También presente cuando cada línea de negocio, unidad de servicio, departamento o grupo en la entidad tiene su propio libro bajo el brazo de cómo hacer las cosas es mejor estar preparado para una lluvia de requerimientos cruzados.2.- Eficiencia en el desempeño: el cómo generar ingresos al nivel de costos óptimo y sin más sorpresas que hagan que ese ingreso se esfume es clave en un negocio, tan impactado hoy por la volatilidad inherente a las operaciones que hoy día se realizan.Es aquí donde el enfoque estratégico se hace importante. Rendir cuentas sobre indicadores de desempeño organizacionales, monitorear el desempeño y establecer parámetros que alerten ante signos de desviación o peligro, cada día es más importante.3.- Riesgos ocultos y conocidos: Si bien es cierto que la mayoría de los riesgos inherentes del negocio bancario son conocidos, también es cierto que la constante innovación en el sector, apuntalado en nuevas tecnologías y la necesidad de captar el negocio de la competencia, hace que nuevos y emergentes riesgos surjan y requieran la respuesta apropiada de la Administración.4.- Reconocimiento sobre el estado actual: saber cuál es el nivel de madurez de la organización en materia de Gobierno, Riesgos y Cumplimiento (lo que hoy conocemos como GRC) más allá del requerimiento regulatorio es importante para establecer qué acciones son necesarias ejecutar y cómo usar el GRC como elemento diferenciador ante la competencia, ante el regulador, inversionistas, agencias de calificación crediticia y otros interesados.El entendimiento de estos cuatro elementos habilitadores de un programa GRC le permitirá lidiar con temas simples y complejos como los que se enumeran a continuación:• Presión de las partes interesadas• Mayor escrutinio del ambiente regulatorio y del mercado en general• Expectativas de las agencias de rating y corresponsales• Fraudes y problemas de continuidad• Preocupaciones por alcanzar los indicadores financieros• Nuevas y retadoras prácticas de mercado• Impactos en la reputación• Costo por penalidades¿Cuáles son las acciones a seguir para gestionar un Programa GRC de forma eficaz?-Desde un punto de vista de implementación de un Programa GRC es necesario tener en cuenta que existen elementos que la organización debería estar manejando, y que dependiendo del nivel de madurez que se posea en relación con los mismos, podrá ser más o menos eficiente dicho esfuerzo y, en consecuencia, de mayor valor agregado. Estos aspectos, los considero fundacionales en todo Programa GRC y son: Mantener una práctica de riesgos actualizada para identificar eventos a nivel transaccional (servicios y productos) y de clientes y contrapartes. Contar con un robusto sistema control interno y una estructura organizacional que haga sentido. (Ya el nuevo Marco de Referencia COSO fue emitido en abril pasado).Igualmente están: Establecer políticas y procedimientos que hagan más eficiente el negocio. Una clara aceptación de responsabilidad y autoridad. Así como, crear consciencia de los niveles de apetito y tolerancia al riesgo en la ejecución de la estrategia y operaciones. Contar con apropiados canales de comunicación y un reporte que le deje el sabor que cuenta con inteligencia de información. Evaluación de los programas de entrenamiento a todo nivel y gestionar la crisis de talento de nuestros días. Monitorear y escalar sobre incidentes e indicadores de riesgo, indicadores de desempeño e indicadores de cumplimiento y por último usar efectivamente la tecnología de la información.¿Cómo se alinean los órganos de control y prevención?-Es muy importante que, en el esfuerzo por alinear las funciones de Administración de Riesgos, Cumplimiento, Auditoría Interna y Control Interno, se procure la identificación de aquellas actividades y productos que genera cada área antes mencionada, establecer solapamientos o duplicaciones, tener claras las interdependencias en sus funciones, indagar sobre posibles actividades omitidas y redefinir un modelo de gestión integrado de los Programas GRC en donde cada una de estas funciones den un aporte de valor.Para finalizar el experto conferencista Bismark Rodríguez enfatizó que “A la hora de buscar eficiencias será conveniente considerar el uso de sistemas que permitan automatizar funciones en estas áreas e ir, poco a poco, construyendo a partir de los Indicadores de Gestión del Negocio o Indicadores de Desempeño (KPI´s) Indicadores de Cumplimiento y Ejecución de Controles (llamémosle KCI´s) e Indicadores de Riesgos (KRI´s). Esto permitirá dar respuestas a incidentes y asuntos relevantes del negocio casi en tiempo real”. antilavadodedinero