Guía para evaluar los riesgos de: Corrupción, Soborno, Opacidad y Fraude
El objetivo principal de la evaluación de riesgos de Corrupción, Soborno, Opacidad y Fraude es entender mejor la exposición a dichos riesgos, de manera que se puedan tomar decisiones más informadas en cuanto a su gestión. En los siguientes pasos se describe un método estructurado que las empresas pueden seguir para realizar su evaluación de estos riesgos. No olvidemos que el ejercicio de evaluación del riesgo de cada empresa es único, dependiendo del negocio, tamaño, ubicación, etc.
Método de evaluación del riesgo
Paso 1: Establecimiento del proceso
Un entendimiento de los riesgos, esquemas y consecuencias legales potenciales de la corrupción, soborno, opacidad y fraude es prerrequisito para una evaluación efectiva del riesgo. Por lo tanto, es necesario crear conciencia entre los miembros clave de los grupos de interés de la empresa que participarían en el proceso. Se podría considerar un taller introductorio preparado por el propietario de la política o programa anticorrupción, antisoborno, transparencia y antifraude (por ejemplo, jurídica, gestión de riesgos, ética y cumplimiento) y si fuera posible, por la alta gerencia, para explorar los riesgos de corrupción con más detalle.
El objetivo es abordar el tema de dichos riesgos, reconocer que la empresa podría estar expuesta a este riesgo e identificar los pasos para examinar la exposición al mismo. Si una empresa desea identificar su exposición a este riesgo y se compromete a realizar una evaluación efectiva del mismo, debe considerar:
- ¿Quién es el propietario del proceso y cuáles son los grupos clave de interés?
- ¿Cuánto tiempo se invertirá en el proceso?
- ¿Qué tipo de datos se debe recolectar y cómo?
- ¿Qué recursos externos se necesitan?
- ¿Qué marco se empleará para documentar, medir y gestionar el riesgo de corrupción?
Paso 2: Identificación de riesgos
En este paso la empresa identificaría los factores de riesgo (por ejemplo ¿por qué habría corrupción, soborno, opacidad y fraude en nuestra empresa?) y los riesgos y esquemas (v.g., ¿cómo se cometerían actos en nuestra empresa?). Durante esta etapa la empresa podría plantearse preguntas como: ¿en qué parte de nuestro proceso comercial hay exposición al riesgo de corrupción, soborno, opacidad y fraude qué tipo de transacciones y arreglos con empleados del gobierno y terceros podrían generar este riesgo y cuáles de los lugares donde hacemos negocios presentan más riesgo de corrupción que otros? Las empresas tienen varias formas de recolectar datos e información sobre por qué y cómo ocurre los riesgos de corrupción, soborno, opacidad y fraude. Estas incluyen:
- Recolección de información con los colaboradores en la empresa.
- Informes de auditoría interna sobre riesgos de cumplimiento, incidentes pasados de incumplimiento y riesgos comunes de corrupción, soborno, opacidad y fraude.
- Fuentes externas, como investigación sobre casos o alegatos de corrupción en la industria y perfiles de países.
- Entendiendo las áreas específicas de interacción potencial directa o indirecta con empleados gubernamentales.
- Entrevistas con personas que cumplen funciones jurídicas, gestión de riesgos, ética y cumplimiento, auditoría interna y adquisiciones, así como la alta gerencia de la empresa/de las divisiones a nivel de país, región o localidad.
- Encuestas, incluyendo autoevaluación de empleados y partes externas.
- Talleres o sesiones de lluvia de ideas para explorar riesgos de corrupción.
Paso 3: Clasificación del riesgo inherente
Para asignar recursos de manera eficiente y efectiva a los riesgos de corrupción, soborno, opacidad y fraude identificados de una empresa y los esquemas relacionados, una buena práctica es clasificar tanto la probabilidad de ocurrencia de cada esquema como el impacto potencial de dicha ocurrencia.
El objetivo es asignar un orden de prioridad a las respuestas a estos riesgos de corrupción, soborno, opacidad y fraude en un formato lógico con base en una combinación de su probabilidad de ocurrencia y su impacto potencial en caso de ocurrencia. Habrá algo de subjetividad en esta evaluación y la clasificación se verá influenciada por la experiencia y antecedentes de las personas involucradas en la misma.
Se puede emplear una escala cualitativa simple para clasificar la probabilidad de cada esquema, como por ejemplo (i) alta, media o baja, o (ii) muy alta, alta, media, baja y muy baja, o también se podría emplear una escala cuantitativa con puntajes asignados a juicio a cada esquema. La combinación de las evaluaciones de la probabilidad y del impacto potencial de cada esquema de corrupción, soborno, opacidad y fraude produce una evaluación del riesgo inherente de corrupción. El riesgo inherente representa el nivel general de riesgo de cada esquema sin considerar los controles existentes. Es en estas áreas donde los controles de mitigación pueden ser más importantes para mitigar los esquemas de corrupción.
Paso 4: Identificación y clasificación de controles de mitigación
Ya identificados los riesgos y esquemas de corrupción, el equipo de evaluación de riesgos debe considerar emprender el proceso de graficar los controles existentes y las actividades de mitigación de cada riesgo y esquema. Esto es importante porque los controles deben ser proporcionales a la probabilidad y a los resultados potenciales de una mala conducta. Al documentar los controles, la empresa debe diferenciar entre controles específicos del esquema y controles generales (a nivel de entidad) y los controles preventivos y de detección.
La mayor parte de los controles identificados pueden ser preventivos o de detección, aunque algunos pueden servir a ambos propósitos. La información sobre los controles relevantes se puede obtener a través de diferentes medios. Aunque la revisión de la documentación de controles y procesos es generalmente un paso clave, los controles relevantes también pueden ser identificados mediante entrevistas y encuestas específicas realizadas a los grupos de interés, quienes pueden ayudar a identificar los controles apropiados.
Además, durante esta etapa, el equipo o la persona que lidere el esfuerzo de evaluación del riesgo de corrupción podría también evaluar con los propietarios del proceso comercial si los controles y programas de mitigación en realidad funcionan de conformidad con la política y el proceso. Es común seleccionar varios controles para cada riesgo y esquema. Al final de esta etapa, la empresa probablemente tenga ya identificados los controles de mitigación relevantes, si los hay, para cada riesgo y esquema identificados en el paso 2.
Existen varias formas de clasificar y comunicar el diseño y efectividad de los controles de mitigación. Se podría emplear una escala cualitativa para clasificar cada conjunto de controles que mitigan un riesgo o un esquema ya sea como (i) efectivo/bajo riesgo, parcialmente efectivo/riesgo medio o ineficiente/alto riesgo, o (ii) muy efectivo/riesgo muy bajo, efectivo/bajo riesgo, parcialmente efectivo/riesgo medio, más o menos efectivo/alto riesgo e ineficiente/riesgo muy alto, o en su lugar, una escala cuantitativa con puntajes numéricos aplicados a cada esquema.
Paso 5: Cálculo del riesgo residual
El riesgo residual es el remanente de riesgo que queda después de considerar el impacto de los controles de mitigación sobre la reducción del riesgo. A pesar de los programas anticorrupción, antisoborno, transparencia y antifraude y de sus respectivos controles internos de mitigación del riesgo de que se presenten esquemas de corrupción, soborno, opacidad y fraude, generalmente sigue siendo posible que se presenten dichos riesgos.
Como resultado, siempre quedará algún nivel de riesgo residual por cada esquema de corrupción. Una evaluación del riesgo residual es entonces un elemento importante que se puede utilizar para evaluar si los controles existentes son efectivos y proporcionales al nivel del riesgo inherente. Tal como sucede con el riesgo inherente, hay un elemento de juicio al evaluar el riesgo residual de cada riesgo/esquema de estos riesgos. Si se aplicó una escala cualitativa tipo alto/medio/bajo para clasificar el riesgo inherente y los controles, se puede emplear una escala similar para el riesgo residual.
Por otra parte, si se identifican controles fuertes para mitigar el esquema de riesgo inherente alto, el riesgo del control sería bajo y el riesgo residual probablemente se definiría como bajo. Si se emplea una escala cuantitativa para determinar la clasificación y control del riesgo inherente, el riesgo residual se podría calcular como una función del riesgo inherente y del riesgo del control. Se podría tener que asignar rangos de puntajes para determinar si el riesgo residual es bajo, medio o alto.
Paso 6: Desarrollo de un plan de acción
La empresa puede evaluar el riesgo residual de cada esquema de corrupción, soborno, opacidad y fraude para determinar si se requiere una respuesta al riesgo de corrupción, y si es así, cuáles serían los elementos del plan. Un factor determinante del plan de respuesta es el nivel de tolerancia de riesgos, el cual varía de una empresa a otra.
Los esquemas de corrupción, soborno, opacidad y fraude que presentan un riesgo residual ubicado dentro del rango de tolerancia de riesgos fijado por la gerencia y aprobado por los encargados del gobierno de la empresa no requieren mitigación adicional de riesgos (cuando son normativos por lo general están indicados en CERO TOLERANCIA a estos riesgos).
La gerencia puede decidir implementar una mitigación de riesgo adicional si cree que la razón costo-beneficio es atractiva, pero esto no es esencial. En cambio, los esquemas de corrupción que presentan un riesgo residual que se sale del rango de tolerancia fijado por la gerencia y aprobado por los encargados del gobierno sí requieren que se tomen medidas para reducir el riesgo hasta que se encuentre dentro de dicho rango de tolerancia. Para esto, se requiere un plan de respuesta al riesgo de corrupción, soborno, opacidad y fraude.
Fuente: Carlos A. Boshell Norman – CB Consultores