Cómo evaluar un factor de riesgo a partir de tres niveles de interlocución

Nuevo vídeo de nuestra aplicación Compliance 3.0 en el que explicamos cómo se evalúa un factor de riesgo a través de tres niveles de interlocución de un departamento. El departamento escogido como ejemplo es el Comercial, que es el que más discrepancias ofrece entre el nivel más alto y el más bajo en asuntos recurrentes, como las invitaciones, atenciones y regalos a clientes.

ARGUMENTO 04 – Eficiencia operativa derivada de la mejora de procesos y de la menor dedicación a la reparación de incumplimientos

Cuando una empresa analiza los riesgos de cada departamento y proceso, identifica los controles a aplicar y obtiene evidencias de su eficacia, acostumbra a encontrar defectos y errores en aspectos operativos que inciden directamente en la rentabilidad del negocio.

El proceso normal del trinomio Riesgo – Control – Evidencia acostumbra a dar los siguientes resultados:

  1. Se identifican riesgos que hasta ese momento eran desconocidos.
  2. Se detectan déficits de control que exigen nuevos controles que hasta entonces no se aplicaban.
  3. Se descubren déficits de prueba que demuestran la inexistencia o la ineficacia de los controles requeridos.

Pero este trabajo también permite revisar desde otra óptica y de manera muy alejada de los diagramas de flujo y centrada absolutamente en los resultados reales de cada proceso, la actividad que desarrolla cada directivo y cada departamento de manera conjunta con otros directivos y departamentos.

Por eso es fácil que, al revisar los riesgos y controles asociados a cada proceso, se produzcan los siguientes hallazgos:

  1. Problemas de comunicación entre departamentos.
  2. Procesos defectuosos o incompletos.
  3. Procesos que no se aplican o se aplican parcialmente.
  4. Errores graves de gestión que afectan a la rentabilidad.
  5. Competencias solapadas.
  6. Conflictos internos.
  7. Graves ineficiencias.
  8. Controles que sólo existen en el papel.
  9. Auditorías extremadamente superficiales y sin evidencias.
  10. Controles obsoletos.
  11. Controles y procesos aplicados en modo automático y sin adaptar.
  12. Tolerancia al error y al incumplimiento.
  13. Complacencia con el modelo.

No me atrevo a decir que de la función de GRC (Governance, Risc and Control) deba surgir forzosamente un proyecto BPR (Business Process Reengineering) pero sí es cierto que al realizar la función de Compliance se producen hallazgos muy útiles para la mejora de la eficiencia operativa.

Por otro lado, el incumplimiento es un gran ladrón de tiempo y de recursos. Como decía Paul McNulty: “Si piensas que el compliance es caro, prueba el no-compliance”.

Cuando se produce el descubrimiento y la posterior publicación en los medios de un incumplimiento grave por parte de una empresa, la prioridad número uno de los directivos será mitigar los efectos negativos de esa crisis en sus activos tangibles e intangibles, corporativos y personales. Esa prioridad va a desviar la atención del negocio o lo va a poner en modo automático.

La gestión de una crisis reputacional y penal grave obsorbe una gran cantidad de tiempo y recursos de manera continuada durante meses o años y puede afectar a los resultados de varios ejercicios. Incluso en el caso de que coincida con la recuperación del sector, y los beneficios sepulten aparentemente la crisis reputacional, un incumplimiento que tenga un impacto equivalente al 50% de la facturación mundial de una empresa dejará de manera implacable su huella en las cuentas anuales y en la estructura del Consejo de Administración.

Ver lista completa de los 25 argumentos a favor del compliance para directivos incrédulos.