Los reguladores constantemente les dicen a los oficiales de cumplimiento que adopten un enfoque “basado en el riesgo” para los procesos y procedimientos de diligencia debida. En algunos casos, las regulaciones llegan hasta el punto de exigir que los terceros sean perfilados apropiadamente en función de su nivel de riesgo.
Por ejemplo, en virtud de la Ley de Secreto Bancario ( BSA ), el nivel de riesgo de un cliente debe determinarse para que se apliquen los procedimientos adecuados de diligencia debida.
¿Qué hace que el proceso de elaboración de perfiles de riesgo sea tan tedioso y difícil para los oficiales de cumplimiento? Al igual que muchos obstáculos que enfrenta la comunidad de cumplimiento, las regulaciones y los requisitos con respecto a la clasificación de riesgos y la diligencia debida de terceros varían enormemente en las distintas jurisdicciones. Además, la cantidad y variedad de factores que deben considerarse al evaluar el riesgo puede ser abrumadora.
Solo bajo la BSA, una organización bancaria debe considerar los tipos de productos y servicios ofrecidos por el negocio de servicios monetarios, las ubicaciones y los mercados a los que presta servicios el negocio de servicios monetarios, la actividad anticipada de la cuenta y el propósito de la cuenta.
Además, la definición de terceros y la clasificación de sus perfiles de riesgo no es exactamente una segunda naturaleza para los abogados o los profesionales del cumplimiento. La categorización de terceros consiste esencialmente en pedir a los oficiales de cumplimiento que vean los riesgos en blanco y negro, colocando recuadros en torno a los conceptos que están capacitados para conocer y analizar como áreas muy grises.
Algunos oficiales de cumplimiento abordarán la tarea de perfilar el riesgo buscando una solución automatizada que hará el análisis de riesgo por ellos. En esencia, quieren una tecnología que les permita enviar datos de terceros y recibir una puntuación de riesgo mágica que les indique el riesgo exacto asociado con ese tercero en particular. Algunos proveedores realmente comercializan este tipo de solución ideal. Hay varios problemas con este enfoque.
Primero, una solución que escupe cualquier tipo de número o métrica asignada que habla del riesgo (por ejemplo, una «puntuación de riesgo») puede estar evaluando solo un factor de riesgo de cumplimiento de los muchos que deben analizarse cuando se perfila el riesgo como parte del establecimiento de un Proceso y procedimiento de diligencia debida. En otras palabras, un «puntaje de riesgo» no siempre es el «perfil de riesgo» completo de un tercero.
Por ejemplo, supongamos que tiene una solución de cumplimiento de gestión de datos de terceros que asigna un «puntaje de riesgo» a cada uno de los terceros que ingresa al sistema. ¿Cuál es la fuente de ese «puntaje de riesgo»? Quizás sea simplemente el rango del IPC del país de origen del tercero .
Si bien el rango del IPC es muy creíble y aún puede considerarse un «puntaje de riesgo», no debe confundirse con un análisis que refleje todo el perfil de riesgo de ese tercero en particular porque solo tiene en cuenta el riesgo relacionado con la corrupción asociado con ese individuo No se refiere, por ejemplo, a los riesgos contra el lavado de dinero que pueden estar asociados con el individuo.
Por esta razón, siempre es imprescindible entender la fuente exacta y el significado del «puntaje de riesgo» o cualquier otro número o evaluación que sus soluciones de cumplimiento puedan asignar automáticamente a un registro o parte de los datos que está introduciendo en esa solución. Una métrica asignada relacionada con el riesgo o hablar sobre el riesgo nunca debe confundirse con una puntuación que tenga en cuenta todos los factores de riesgo a menos que esté absolutamente seguro.
En segundo lugar, incluso si el «puntaje de riesgo» está capturando múltiples factores de cumplimiento, es probable que no estén adaptados a su negocio específico, lo que significa que aún pueden no ser completamente exactos o confiables.
Además, los riesgos tienen diferentes ponderaciones en función de las diferentes industrias y donde se producen las operaciones comerciales. Por ejemplo, si una empresa no realiza negocios con gobiernos extranjeros, es posible que no tenga tanta exposición a los riesgos relacionados con la corrupción como una compañía que opera a nivel mundial y trabaja con muchas entidades estatales.
El uso de un sistema que automatiza los puntajes de riesgo sin ninguna personalización puede no sopesar los riesgos en proporción a la exposición al riesgo real de su empresa.