La medición del riesgo de cumplimiento

Antonio Carrascosa
Director Cumplimiento Regulatorio

 El riesgo de cumplimiento

• Siguiendo al Comité de Basilea para la Supervisión Bancaria (en adelante, BIS)

podemos definir el riesgo de cumplimiento normativo como: “el incumplimiento de las
disposiciones legales, normas, estándares adoptados por la organización y códigos de
conducta aplicables a sus actividades que puede conllevar sanciones (riesgo regulatorio)
y/o deterioros de reputación (riesgo reputacional) provocando en consecuencia un
impacto adverso en los resultados, y/o en el capital, y/o en las expectativas de desarrollo de
los negocios de la institución (riesgo operacional).”

• Interrelación entre el riesgo de cumplimiento y los riesgos legal, regulatorio (o supervisor),

reputacional y operacional.

• ¿Qué puede suponer el incumplimiento? Sufrir una sanción del supervisor, atender
reclamaciones económicas de clientes (también se puede compensar a éstos para evitar
reclamaciones formales) y obtener menores resultados. Las sanciones y reclamaciones
pueden deteriorar la reputación de la entidad, lo que también tiene su impacto
económico.

• Por tanto, el riesgo de cumplimiento puede definirse como el riesgo de perjudicar el modelo
de negocio, la reputación o las condiciones financieras de una entidad por no estar al nivel
requerido por las normas, las políticas y los estándares internos, así como por las
expectativas de clientes, empleados y la sociedad en general.


 Generalidades sobre la gestión del riesgo de cumplimiento

• El riesgo de cumplimiento, como otros, no puede ser eliminado, pero puede ser identificado,
gestionado, monitorizado y controlado.

• Hay que valorar, para las unidades de negocio y operaciones de la entidad financiera, el
nivel de riesgo derivado de potenciales desarrollos normativos, de la aprobación de
nuevas normas y de la consiguiente relación con los reguladores y supervisores.

• Debemos entender que se incluyen las normas, estándares y códigos de conducta

aplicables a las actividades bancarias, pero que forman parte del ámbito habitual de la
función de cumplimiento normativo: prevención de blanqueo de capitales y financiación
del terrorismo, protección de datos personales, normas de conducta en los
mercados de valores, gestión de conflictos de interés, trato equitativo a la clientela,
etc.

• La gestión del riesgo de cumplimiento supone también conocer los controles que tenemos
implantados para mitigar estos riesgos y qué grado de eficacia tienen.


Generalidades sobre la gestión del riesgo de cumplimiento

• Parece claro que el riesgo de cumplimiento no es fácilmente medible y cuantificable,

por lo que es interesante buscar experiencias en otros riesgos relacionados para
desarrollar metodologías cualitativas. Por tanto, no hay una única metodología para
la medición y la gestión del riesgo de cumplimiento.

• Sobre el riesgo operacional, se ha incluido con Basilea II en requerimientos de

capital, pero en algunos de los enfoques, los más sencillos, las mediciones del riesgo
reputacional son meras aproximaciones. Utilidad de los enfoques cualitativos.

• Sobre el riesgo reputacional, ha habido intentos por algunas entidades de

cuantificarlo, utilizando una metodología muy similar a la del riesgo operacional,
listando posibles eventos de reputación con sus probabilidades de ocurrencia. Los
intentos, según algunos supervisores, han sido hasta el momento fallidos. Otra cosa
es realizar análisis cualitativos que permitan a las entidades controlar y gestionar
dicho riesgo.


 La experiencia del riesgo operacional

• El riesgo operacional es el riesgo de pérdidas derivadas de la inadecuación o fallos

en los procesos, personal y sistemas de una entidad, así como de acontecimientos
externos.
• En un enfoque cualitativo de gestión del riesgo operacional, se parte del
conocimiento de los procesos (no sólo a partir de los manuales de políticas y
procedimientos), identificando focos de riesgo operacional y posibles controles que
los mitiguen.
• La evaluación de los riesgos se realizará en función de su frecuencia y severidad. El
ejercicio acaba en la estimación cuantitativa de unas pérdidas.
• Una alternativa consiste en estimar el número de eventos y severidad en intervalos y
permite contar con una estimación de pérdidas (generalmente acompañada de una expresión
del nivel de confianza que se tiene en la misma).
• También se puede establecer un “rating” o calificación del riesgo / control que existe
en el proceso de gestión y control de riesgos.
• Las estimaciones se realizan tomando como referencia la experiencia interna
histórica, datos externos relevantes, opinión de expertos, precedentes, informes de
auditoría interna y externa, etc.


 Ejemplos de medición del riesgo de cumplimiento

• Prevención blanqueo de capitales

• Riesgo: No haber comunicado operaciones que finalmente se demuestra que han

constituido blanqueo de capitales por controles insuficientes o inadecuados.

• Impacto estimado (sanción impuesta por el Ministerio de Economía) : 600.000

euros (para su evaluación hay que tener en cuenta las normas sancionadoras –
relevancia de la facturación- y la política aplicada –publicidad de las sanciones-).

• Frecuencia estimada (veces al año) : 3 (partiendo de la experiencia de la entidad en

los 3 últimos años).

• Efectividad de los controles: 50 % (esto supone unos controles poco efectivos).

• Pérdida estimada: 900.000 euros

• Las entidades suelen elaborar mapas de riesgos a partir de su tipología de clientes y

productos (propensión al riesgo de la entidad), con sus correspondientes controles.
Las herramientas de “scoring” nos servirán para detectar operaciones / clientes de
riesgo. Con los informes de auditor interno y los de experto independiente
comprobaremos la eficacia de los controles internos desarrollados.

 Ejemplos de medición del riesgo de cumplimiento

• Se puede desarrollar una metodología de calificación (“rating”) de riesgos para

priorizar los esfuerzos y recursos de la función de cumplimiento.

• Este “rating” debe partir de factores de riesgo específicos como:

– Prioridades de supervisión manifestadas por el Banco de España y de la CNMV.
– Énfasis de la política sancionadora en determinadas conductas.
– Novedades regulatorias.
– Cambios en la operativa de negocio de la entidad, hacia un mayor o menor
riesgo.
– Cambios en el modelo operativo (sistemas de control, tecnología, etc.) de la
entidad.
– Recientes sanciones a la entidad y grado de calidad de la relación con los
supervisores.
– Recientes reclamaciones de los clientes, especialmente, las masivas.
– Presencia de la entidad en los medios.


 Mitigación del riesgo de cumplimiento

• ¿Qué puede mitigar el riesgo de cumplimiento? Desde una estructura organizativa

adecuada y unos medios suficientes de la unidad de cumplimiento a su
independencia, pasando por la definición de políticas y procedimientos, sistemas de
control interno, formación, tecnología (útil para documentar y dejar pistas en los
sistemas del cumplimiento de las obligaciones, para monitorizar dicho cumplimiento,
para efectuar el “reporting” regulatorio, etc.).

• Las entidades deberían evaluar si tienen controles para gestionar adecuadamente su

riesgo de cumplimiento:
– Los controles suponen un conjunto específico de políticas, procedimientos y
actividades para cumplir un objetivo.
– Los controles podrían formar parte de una función o actividad dentro de un
proceso concreto.
– Los controles pueden ser manuales o automatizados; pueden suponer
segregación de funciones; pueden consistir en revisiones y aprobación de
conductas; pueden afectar a la salvaguarda de activos; etc.
– Los controles pueden ser preventivos o pueden estar orientados a la detección
de incumplimientos.
– Generalmente, los supervisores no exigen unos controles específicos. Hay que
tener programas de cumplimiento completos que suministren una mínima
seguridad a la entidad.


 Mitigación del riesgo de cumplimiento

• Ejemplos de puntos de control:

– Existencia de manuales de políticas y procedimientos.
– Existencia de una estructura organizativa para fortalecer el control.
– Existencia de políticas de segregación de funciones.
– Existencia de filtros en el acceso a la información.
– Procedimientos de archivo de documentación.
– Realización de auditorías periódicas de procesos.
– Planes de formación.
– Realización de liquidaciones, conciliaciones y comprobaciones electrónicas.
– Planificación de inspecciones y plan de trabajos y tareas.
– Seguimiento del grado de cumplimiento del plan

• Periódicamente hay que revisar la eficacia de estos controles:

– Papel de Auditoría interna.
– Los tests deben ser realizados por personas con conocimientos y experiencia en
cumplimiento.
– Se pueden revisar políticas y procedimientos a través de reuniones con el
personal implicado. A esto se le puede añadir la revisión de la documentación
correspondiente a una muestra de operaciones y otros procedimientos.


 Mitigación del riesgo de cumplimiento

• Las oportunidades de mejora pueden estar asociadas bien a los propios procesos o
bien al desempeño de los puntos de control. Entre posibles oportunidades de mejora
están:
– Asociadas a los procesos:
• Automatización de tareas.
• Establecimiento de una nueva estructura organizativa.
• Establecimiento de nuevos procesos de comunicación y “reporting”.
– Originadas por los puntos de control:
• Segregación de funciones.
• Realización de controles y conciliaciones.
• Realizar un plan de formación específico.

