El enfoque basado en riesgos aplicado a la función de Compliance
- Categorías Artículos
I. Introducción a la problemática: la limitación de recursos en Compliance:
La función de Compliance, con la figura del Oficial de Cumplimiento o Compliance Officer a la cabeza es un rol que hoy en día deviene imprescindible en cualquier organización por varios motivos.
Primero, el incremento de requerimientos regulatorios, que, si bien inicialmente se circunscribían a sectores regulados como el financiero o el farmacéutico, en la actualidad se han ido extendiendo a energía, juego, deportes, transportes, sanidad e incluso generalizando a raíz de la aplicación a las compañías y sus directivos de distintos epígrafes de los códigos penales, generando el denominado Compliance penal.
Esta expansión no sólo se da en los sectores, sino que también se observa en las temáticas a cubrir por el Compliance Officer, que, si bien inicialmente se centraban en cuestiones relacionadas con prevención de blanqueo de capitales y financiación del terrorismo, han ido avanzando hacia otros asuntos tales como fraude, conflictos de interés, protección a consumidores, abuso de mercado, información privilegiada, libre competencia, nuevos productos, o protección de datos y ciberseguridad. En definitiva, la función de Compliance ha pasado a centrarse en el diseño y control del marco de riesgos relacionados con conductas o comportamientos inadecuados o no éticos no sólo hacia la empresa, sino también hacia la sociedad en general.
Segundo, la prolongación de requerimientos de compliance por parte de entidades supervisadas hacia entidades no supervisadas con las que mantienen relaciones de negocios. Así, cada vez más entidades reguladas extienden sus obligaciones a aquellos proveedores en los que delegan tareas claves o que les proporcionan servicios identificados como críticos. Con el fin de cumplir con estas nuevas exigencias, las entidades no reguladas contratan funciones de compliance para cubrir estas nuevas tareas. Estos casos se suelen dar en situaciones en las que los clientes regulados tienen un alto poder de influencia sobre sus proveedores de servicios críticos.
Tercero, con la finalidad de proyección de una imagen ética y transparente por parte de las compañías, produciendo un marketing positivo en términos de atracción del talento y de potenciales inversores, que cada vez tienen más en cuenta este tipo de elementos.
Sin embargo, las funciones de Compliance no dejan de ser un centro de costes en las organizaciones, que no traen beneficios directos, sino indirectos (positivos, al apoyar un negocio seguro y viable, o negativos, al evitar sanciones). Dichos beneficios indirectos, son difíciles de calcular, por lo que, en general, se puede concluir que la mayoría de los empresarios contemplan esta función como clave, pero no generadora de ingresos de forma directa, sino más bien como un coste necesario.
A su vez, el empresario, ha de buscar un balance entre el control (y, por tanto, la seguridad), y el riesgo (que a su vez puede generar oportunidades o beneficios). Es por ello por lo que los departamentos de compliance, como función de control en las organizaciones, se encuentran limitados en términos de (i) recursos (humanos, tecnológicos y financieros), (ii) tiempo y (iii) alcance del trabajo a realizar (materias y extensión del control).
Esta combinación de limitaciones es conocida como el triángulo de hierro, y condiciona la calidad del trabajo llevado a cabo en Compliance. Por ejemplo, un equipo pequeño sin recursos tecnológicos y con una limitación de tiempo, deberá de plantearse si reduce en número de materias a tratar para poder entregar un trabajo de calidad, o si sacrifica la calidad del trabajo para así seguir tratando todas las materias asignadas bajo su mandato.
Este tipo de decisiones no ha de ser exclusivas del Compliance Officer, sino que han de ser tomadas por el órgano al que la función reporte como últimos responsables de los riesgos (por ejemplo, Comité de Compliance o gerente general).
II. El enfoque basado en riesgos como solución: concepto y sus orígenes:
El enfoque basado en riesgos (risk based approach o RBA) consiste en la identificación, evaluación, comprensión y gestión de riesgos a los que las entidades se exponen. En este caso en concreto, se estaría refiriendo a los riesgos asignados a la función de compliance. Así, no sólo se trata de la identificación y evaluación de riesgos, sino también de la adopción de medidas de control proporcionales que permitan una mitigación efectiva de los mismos hasta niveles de riesgos aceptados o tolerados por la dirección de la organización.
Este tipo de enfoque tiene sus orígenes en las metodologías aplicadas por las funciones de auditoría. El RBA permeabilizar en el ámbito de compliance a raíz de las recomendaciones del Grupo de Acción Financiera Internacional (GAFI o FATF por sus siglas en inglés) de 2012, año en el que se incorpora este concepto como elemento clave a tener en cuenta en el ámbito de prevención de lavado de dinero y financiación del terrorismo.
Hasta entonces, GAFI había seguido un enfoque basado en reglas que se había traducido en normativas locales y regionales en los países que son miembros de la organización. Esto hacía que todas las entidades sujetas a requerimientos de prevención de blanqueo estuvieran sujetas a las mismas reglas básicas. Sin embargo, este enfoque resultaba excesivamente oneroso para ciertas entidades de menor tamaño, y en ocasiones, ligero para grandes multinacionales. No sólo esto, sino que provocaba el efecto psicológico generalizado de limitar los esfuerzos de compliance a lo que estaba establecido en la ley, convirtiéndose en un trabajo completo en forma, pero no en sustancia. Es decir, no se cumplían criterios de eficacia y eficiencia.
Con el fin de mitigar estas deficiencias, GAFI incorpora en 2012 el enfoque basado en riesgos como la primera recomendación a ser tenida en cuenta por reguladores, supervisores y agentes del sector privado (Recomendación 1).
Este principio ha ido transponiéndose en las correspondientes regulaciones locales. Si bien en sus albores se encontraba limitado a prevención de lavado, con el tiempo se ha ido extendiendo a otros ámbitos que la función de compliance ha ido tomando y, por tanto, se ha convertido en un pilar básico de la metodología de trabajo de los Compliance Officer.
Este enfoque exige que las entidades reguladas evalúen sus principales riesgos de lavado de activos y centren sus esfuerzos en dichos riesgos, siguiendo una idea similar al principio de Pareto, por el que el 80% del esfuerzo se centraría en el 20% de riesgos (los asuntos de mayor calado), limitando el 20% de esfuerzo al 80% de riesgos que se considerarían de menor impacto o bajo control. En consecuencia, la organización se ve obligada a fijar riesgos (alto, medio, bajo), prioridades y reevaluar las mismas de manera constante, buscando una mejora continua de los programas de compliance, que dejan de ser estáticos.
Así, tal y como puede verse, el RBA no asegura una mitigación total del riesgo, sino una gestión de este, ya que una mitigación total (riesgo cero) implicaría un uso exorbitado de recursos, impidiendo la viabilidad de los negocios. Las entidades han de buscar el balance basado en factores endógenos (apetito de riesgo de la dirección, recursos) y exógenos (regulaciones, expectativas supervisoras, cambios en los niveles tolerancia de la sociedad hacia cierto tipo de prácticas o comportamientos).
Como parte del ADN de Compliance, el enfoque basado en riesgos se extiende más allá de las simples monitorizaciones de lavado de dinero, tal y como se puede ver en algunos ejemplos enumerados a continuación, aplicables a cualquier temática que sea tratada por los equipos de Compliance:
- Políticas y procedimientos: decisiones de mayor o menor desarrollo de políticas (en procedimientos, formularios y guías), así como de la decisión de la periodicidad de sus revisiones.
- Comunicaciones y formación: enfoque en aquellos colectivos de trabajadores con mayor exposición al riesgo que sea tratado. Esto incidirá en el formato de la capacitación (presencial versus online), la frecuencia (mayor exposición a un riesgo categorizado como alto implica mayor frecuencia de acciones de formación y comunicación) y la profundidad de contenidos.
- Monitorizaciones y testeos: decisiones tales como la cantidad de recursos, tiempo invertido o frecuencia de los controles vendrán definidos por el nivel por el que el riesgo haya sido catalogado.
Así, se hablaría de una estrategia de implantación integral del enfoque basado en riesgos por parte de las funciones de Compliance de las organizaciones, independientemente de si estas están reguladas o no.
Este enfoque, deberá de tener en cuenta posibles salvedades, que puedan existir derivadas de determinados requerimientos externos, principalmente regulatorios (por ejemplo, si un supervisor requiere un reporte con cierta periodicidad a todos los sujetos obligados, la empresa no podrá aplicar un enfoque basado en riesgos a este tipo de obligaciones).
III. Principios complementarios: proporcionalidad y flexibilidad a futuro:
El enfoque basado en riesgos también viene complementado por el principio de proporcionalidad, por el que las entidades han de invertir recursos y tiempo en función de distintos parámetros, como puede ser el tamaño de la empresa, volumen de negocios, o cantidad de mercados en los que se encuentren.
De este modo se solventa la problemática que planteaba el enfoque basado en normativa, evitando que pequeñas empresas adquieran una carga de controles excesivas para su situación. De la misma forma, las entidades de gran tamaño estarán sujetas a mayores controles, adecuados a su operativa.
Si bien el principio de proporcionalidad en las normativas locales de las jurisdicciones puede catalogarse como de contemporáneo al del enfoque basado en riesgos, el segundo principio complementario (flexibilidad a futuro) sólo ha comenzado a escucharse en sectores regulados recientemente a raíz del impacto sufrido en el sector financiero a raíz de las innovaciones tecnológicas.
El principio de flexibilidad a futuro (future proof) es un nuevo principio necesario a raíz de la constante evolución que está sufriendo la sociedad y los mercados debido al incremento exponencial de las innovaciones. Si bien en la actualidad está dirigida hacia la forma en que los organismos públicos han de regular y controlar la innovación, es cuestión de tiempo que este principio se extienda hacia el sector privado.
Así, la función de Compliance deberá diseñar políticas y controles de forma abierta, con capacidad para acoger nuevas realidades. Por ejemplo, los programas de compliance se diseñarían con capacidad para adaptarse a situaciones de crisis, como la sufrida por el COVID-19, o a innovaciones, como la disrupción de la tecnología de registros distribuidos y su aplicación en diversas industrias. En conclusión, se busca que la función tenga la capacidad de adaptarse al incremento de incertidumbre que sufren las operaciones, negocios, clientes y mercados sufren hoy en día.
Por ello, las funciones de Compliance deberán aplicar enfoques ágiles y flexibles que les permitan reaccionar de inmediato, reduciendo los tiempos requeridos para la adaptación al cambio.
IV. Conclusiones:
Como cierre se ha de estresar la necesidad de un enfoque integral de gestión de riesgos por parte de las funciones de Compliance, que no sólo se limite a temáticas de prevención de lavado de activos, sino a cualquier otro asunto que caiga dentro de su mandato. Tampoco se circunscribe al cumplimiento de la letra de la ley, sino con su espíritu de forma eficaz y eficiente.
El RBA, no se limita sólo al tiempo dedicado a cada temática asignada, sino a todo el ciclo o estructura propia de Compliance, esto es, políticas y procedimientos, comunicación y formación, y monitorizaciones y testeos. No se trata de una “foto fija”, sino de una “película” en constante movimiento, sobre el que hay que identificar las tramas principales y las secundarias.
Este enfoque se ve complementado por los principios de proporcionalidad y el principio de flexibilidad a futuro, que ha surgido recientemente debido al incremento exponencial de la incertidumbre en los mercados.
V. Bibliografía:
- Atkinson, R. (1999). Project management: cost, time and quality, two best guesses and a phenomenon, its time to accept other success criteria. International journal of project management, 17(6), 337-342
- Craft, R. C., & Leake, C. (2002). The Pareto principle in organizational decision making. Management Decision.
- Financial Action Task Force (FATF). (2012). Documents – Financial Action Task Force (FATF). International Standards on Combating Money Laundering and the Financing of Terrorism & Proliferation – the FATF Recommendations. Recuperado 31 de agosto de 2022, de https://www.fatf-gafi.org/publications/fatfrecommendations/documents/internationalstandardsoncombatingmoneylaunderingandthefinancingofterrorismproliferation-thefatfrecommendations.html
- Kaplans, J. (2018). Risk-based approach in the European anti-money laundering legislation: origins, benefits, and implications.
- OECDE iLibrary. (2020). Regulatory Policy in the Slovak Republic : Towards Future-Proof Regulation. Retrieved from 9. Innovative approaches to support future-proofing regulation: https://www.oecd-ilibrary.org/sites/94d061e5-en/index.html?itemId=/content/component/94d061e5-en
- Organización Internacional de Normalización. (2021). Compliance management systems — Requirements with guidance for use (ISO 37301:2021(E))
AUTORA: Lucía Suárez Barcia, Global Compliance Officer del Grupo Lana Fintech. Doctorando en Ciencias Jurídicas y Económicas en la Universidad Camilo José Cela. MBA para profesionales por IE Business School.

Plataforma Internacional de Educación Ejecutiva especializada en Compliance y Buenas Practicas Corporativas.
También te puede interesar
Rol Multifacético del Compliance Officer
El papel del Compliance Officer es vital dentro de cualquier estructura organizacional. Analogamente, este rol puede ser comparado con el de un “airbag”, crucial por su función protectora en situaciones críticas y su capacidad preventiva. Este profesional no solo interviene …
Fundamentos de la Protección de Datos Personales
La protección de datos personales ha ganado una importancia creciente en el contexto global actual, reflejando un cambio significativo hacia la valorización de la privacidad personal como un derecho fundamental. Este enfoque ha sido catalizado por las sanciones substanciales impuestas …
Compliance en empresas multinacionales
La gestión de sistemas de compliance en empresas multinacionales presenta desafíos únicos debido a la diversidad de regulaciones y culturas en las diferentes jurisdicciones donde operan. Esta publicación ofrece algunas ideas para abordar estos desafíos y asegurar un sistema de …