La elaboración de informes sobre los riesgos de la organización para que los altos ejecutivos los consideren es una de las tareas más importantes que tienen los directores de cumplimiento. La elaboración de informes de riesgo eficaces es fundamental para un programa de cumplimiento sólido y, francamente, para la seguridad de la carrera de un director de cumplimiento. Es algo que todo profesional de cumplimiento debe entender y hacer bien.
Así que hoy vamos a dar un paso atrás y revisar los fundamentos: ¿Qué es un informe de riesgos y cómo se crea un informe de riesgos eficaz?
¿Qué es un informe de riesgos?
Un informe de riesgos imparte información sobre los riesgos más apremiantes de la empresa en ese momento. Por lo general, abordará los riesgos críticos, cuyas consecuencias para la empresa podrían ser nefastas, así como los riesgos emergentes que podrían causar mayores problemas en el futuro si no se vigilan cuidadosamente.
Además, el informe de riesgos debe discutir lo bien que la empresa está o no está gestionando esos riesgos en ese momento. Así, el informe podría incluir también material sobre qué políticas son insuficientes, qué controles no están funcionando tan bien como se esperaba, o qué medidas adicionales podrían ser necesarias para mantener el riesgo dentro de los niveles de tolerancia de la empresa.
Por qué es importante informar sobre los riesgos
Por encima de todo, las políticas son insuficientes es importante porque el trabajo del consejo de administración es supervisar la eficacia de los sistemas de gestión de riesgos, y el consejo (concretamente el comité de auditoría) no puede hacerlo bien si no entiende cuáles son los riesgos reales de la empresa. Los comités de auditoría que adoptan un enfoque indiferente a la supervisión de la gestión de riesgos violan sus obligaciones fiduciarias según la ley y pueden enfrentarse a demandas en los tribunales. Así que no es de extrañar que a los comités de auditoría les guste ver informes de riesgos competentes y eficaces.
Los informes de riesgos también son importantes porque ayudan al consejo a ofrecer asesoramiento estratégico. Por ejemplo, su informe de riesgos puede advertir sobre un alto riesgo de corrupción si la empresa se expande a los mercados emergentes. Ese informe puede hacer que el consejo de administración reconsidere si la expansión es acertada, o estrategias de precios alternativas, o alguna otra medida. En cualquier caso, el informe de riesgos es la materia prima que el consejo de administración utiliza para reflexionar sobre esas decisiones.
Mientras tanto, el equipo de gestión se basará en los informes de riesgo para entender cómo podría necesitar cambiar las operaciones para hacer negocios de una manera más consciente del riesgo. Supongamos que el consejo de administración decide que la expansión en los mercados emergentes es necesaria. Entonces corresponde a la dirección decidir cómo alcanzar ese objetivo. Un informe de riesgos exhaustivo ayudará a los altos ejecutivos a entender cómo pueden necesitar actualizar las políticas sobre los gastos de regalos y entretenimiento, o la compensación de incentivos por alcanzar las cuotas de ventas, o los sistemas de diligencia debida para investigar a los clientes en el extranjero.
Un informe de riesgos eficaz también es importante para los reguladores. Si alguna vez visitan su empresa para revisar su conducta o el programa de cumplimiento y encuentran una capacidad débil para informar y discutir los riesgos, nada bueno sale de eso. Considere este pasaje del Departamento de Justicia de los Estados Unidos El punto de partida para que un fiscal evalúe si una empresa tiene un programa de cumplimiento bien diseñado es entender el negocio de la empresa desde una perspectiva comercial, cómo la empresa ha identificado, evaluado y definido su perfil de riesgo…
Una empresa no puede identificar, evaluar y definir su perfil de riesgo si los ejecutivos no hablan de cuáles son esos riesgos, y un informe de riesgo es fundamental para esa discusión.
Qué debe incluir un informe de riesgos
Como mencionamos anteriormente, su informe de riesgos debe abordar los riesgos más críticos, así como los riesgos emergentes.
Los responsables de cumplimiento tenderán naturalmente a centrarse en los riesgos críticos o emergentes de cumplimiento normativo, y ese es un lugar perfectamente adecuado para comenzar. Por ejemplo, su informe podría abordar las normas de privacidad de datos cuando se está expandiendo a nuevos mercados, o las normas de contratación del gobierno si está comenzando a licitar en contratos gubernamentales. Los responsables de cumplimiento siempre se preocuparán también por la aplicación de las normas anticorrupción.
Piense de forma amplia. Considere cómo los cambios en las operaciones rutinarias de su empresa pueden cambiar la naturaleza de los riesgos que su empresa siempre ha tenido. Por ejemplo, un riesgo emergente y crítico podría ser el cambio de los empleados que trabajan desde casa, lo que podría cambiar radicalmente sus riesgos de fraude, ciberseguridad y acoso, sin ningún cambio en las leyes y reglamentos reales que rigen esas cuestiones. A veces, un cambio en las operaciones hará que las políticas y los controles existentes sean insuficientes para los riesgos en cuestión, y eso es algo que debe incluirse en un informe de riesgos.
El ejemplo del trabajo desde casa llama la atención sobre otro punto importante: Por ejemplo, el cambio del trabajo a domicilio se debe a la crisis del COVID-19. En una línea similar, las nuevas políticas comerciales en todo el mundo podrían crear riesgos de sanciones; una fusión podría crear riesgos antimonopolio. Cuanto más ampliamente defina los posibles riesgos emergentes o críticos, mejor podrá identificar los riesgos emergentes o críticos reales que deben figurar en su informe.
De qué debe tratar un informe de riesgos
Cada riesgo del informe debe incluir un análisis de su posible impacto. Eso es lo que los altos ejecutivos y los directores de la junta directiva quieren entender para decidir cómo se debe abordar el riesgo.
Podemos definir el «impacto» según varias líneas:
- Financiero: sanciones monetarias como parte de una acción de cumplimiento de la normativa; costes de mano de obra o de equipos relacionados con esa investigación (abogados externos, nueva tecnología, etc.); pérdida de ingresos o beneficios
- Operativo: si un riesgo podría provocar que no se pudieran vender las existencias, que no se pudieran utilizar las fábricas, que los procesos empresariales no funcionaran cuando fuera necesario, etc.
- Estratégico: si un riesgo podría frustrar ciertas opciones a largo plazo, como dejar a la empresa con muy poco efectivo para adquirir objetivos de fusión o desarrollar nuevos productos
- Reputacional: podría un riesgo dañar la reputación corporativa entre los clientes, consumidores o socios comerciales
No todos los riesgos necesitan una discusión completa de cada uno de los puntos anteriores, pero los responsables de cumplimiento deberían al menos considerar estas variables, y cuáles son las más relevantes para el riesgo que está discutiendo.
El informe debe explorar cómo el programa de cumplimiento está tratando de abordar el riesgo en cuestión. Por ejemplo, indicar si las políticas y controles existentes en la empresa están produciendo los resultados deseados; o qué debilidades existen en los controles destinados a gobernar el riesgo. La discusión también debe incluir un cronograma de acción para resolver cualquier debilidad de control que tenga, identificar al propietario del riesgo y solicitar cualquier orientación de la junta directiva o de la gerencia si es necesario.
¿Cómo crear un informe de riesgos eficaz?
Supongamos que su informe ha identificado todos los riesgos que realmente deberían incluirse. En ese momento, la verdadera amenaza es que el informe presente demasiada información, de manera que deje al lector abrumado o confundido sobre lo que debe hacer. Un informe de riesgos eficaz tiene que ver con el enfoque y la estructura, además del contenido.
Por ejemplo, el informe de riesgos debe ser fácil de leer y digerir. Eso significa un resumen ejecutivo de los riesgos y por qué están incluidos en el informe, seguido de discusiones en profundidad de cada riesgo y sus datos de apoyo. La longitud del resumen puede variar, pero como regla general, cualquier resumen que supere las 10 páginas se acerca a ser demasiado largo.
Después de ese resumen ejecutivo, puede entrar en los detalles, que pueden ser voluminosos. Aquí es donde puede incluir datos de apoyo (cuanto más utilice tablas o gráficos de herramientas de visualización de datos, mejor), informes de auditoría, historias de casos, proyecciones de costes, etc. En formato electrónico, puede incluso estructurar su informe de riesgos con enlaces para que el lector pueda ir y venir del resumen a la discusión en profundidad.
Un informe eficaz también vincula claramente cada riesgo a un objetivo empresarial declarado. Después de todo, la mayoría de las personas que leen el informe de riesgos provienen de las operaciones comerciales o de las funciones de gestión, y no tienen mucha experiencia en el cumplimiento o la gestión de riesgos. Relacionar el riesgo con un objetivo empresarial indica al lector por qué el riesgo es importante y merece su atención.
Por último, un informe eficaz traza un plan de acción o plantea preguntas que el consejo de administración o la alta dirección deben responder. Un informe eficaz hace partícipe al lector, ya sea asegurándole que existe un plan para controlar el riesgo o solicitándole orientación sobre lo que debe hacer a continuación. Un informe sobre riesgos capta el estado de los retos de la gestión de riesgos de una empresa en este momento y traza posibles formas de avanzar.
Lo que no es un informe de riesgos es un ejercicio en sí mismo. No es un ejercicio de comprobación para demostrar que la función de cumplimiento ha hecho su trabajo. Es una herramienta para ayudar a los líderes de alto nivel a hacer su trabajo de gobernar la empresa, y cuanto más experto sea el manejo de esa herramienta, más exitoso será su programa de cumplimiento.