Servicios Tecnológicos sector empresarial

También en cumplimiento, si no mides, no sabes lo que pasa

Escrito por Eliseo Martín | 08-ene-2021 6:30:00

Cuando presentamos nuestro producto GRC, Motor de Cumplimiento, a clientes potenciales muchos nos preguntan ¿por qué hay que recoger datos para evaluar los controles, si se supone que por sus características y atributos son buenos?

Esta última frase incluye el supuesto de que son buenos porque así los hemos definido e implementando, y que según eso aporta una mitigación determinada.

Pero no te deberías preguntar cómo sabes que son buenos esos controles si no mides su eficacia. Llegados a este punto, todos llegamos al convencimiento de que si no medimos, no lo sabemos.

Modelo de cumplimiento y matriz de riesgos

Los que se mueven en el mundo de los riesgos están familiarizados con la identificación de los riesgos y su valoración. Así, el daño potencial que puede ocasionar un riesgo, si no hacemos nada, normalmente se expresa como sigue: 

[1]  Riesgo Inherente = Impacto * Frecuencia

Y si lo mitigamos, dependiendo de la calidad de la mitigación aplicada, quedaría en:

[2]  Riesgo Residual = Riesgo Inherente * ( 1 - %Mitigación )

¿De qué depende el valor de la mitigación?

En un modelo de cumplimiento basado en la aplicación de varios Controles por Riesgo,  la Mitigación será el resultado de las mitigaciones ponderadas de sus Controles. Nosotros preferimos este modelo al de elegir la mayor de todas, puesto que indirectamente estaríamos diciendo que los demás Controles no aportan nada; luego para qué los tenemos si encima nos cuestan dinero. 

Según nuestro modelo, el valor de la Mitigación aportada por cada Control viene determinado por cinco atributos acumulativos de mitigación: Automatización; Naturaleza; Frecuencia; Alcance y Especificidad, cuya valoración nos proporcionará el valor del porcentaje final a aplicar.

Recuerdas que hemos iniciado este post hablábamos de "medir", ¿cómo lo aplicamos entonces? Para ello, y en fase de diseño del modelo, se habrá identificado qué Dato objetivo, o varios, cuya evaluación simple o combinada entre ellos, nos proporcione un valor que comparado con el "valor umbral" nos permita tener la certeza de que el Control funciona satisfactoriamente (a esto lo denominamos eficacia del control). En las evaluaciones que resulten positivas se mantiene la mitigación de ese control y en caso contrario se castiga y se baja al 50% de su valor teórico. ¿Esto tiene repercusiones en el estado del cumplimiento?. Claramente sí y por eso usamos el concepto de riesgo residual corregido.

¿Qué es el Riesgo Residual Corregido (RRC)?

Aún no habíamos definido este concepto y su formulación es como sigue: 

[3]  RRC = R I * ( 1 - %Mitigación * %Eficacia )

Traduciendo esto a texto, significa que si la medida de la eficacia del control se evalúa como insuficiente, automáticamente esta eficacia pasa del 100% inicial a un 50%. La disminución de la Mitigación elevaría el RR, pudiendo en algún caso dar valores por encima de nuestro apetito al riesgo y hacer saltar las alarmas. Es cuando aparecerían "los indicadores rojos" en nuestro Cuadro de Mandos.

Un ejemplo ayudará a interpretarlo:

Supongamos que el RI de un riesgo se valora en 2O puntos (en una escala de 1-25 sería un valor "riesgo extremo").

Supongamos también que la mitigación de su único control aporta un valor del 60% (mitigación fuerte), luego el riesgo residual sería 20 * (1 - 60%) = 8 (aplicando [2]), lo que lo situaría en un valor de "riesgo moderado".

Si nuestro umbral de apetito al riesgo lo situamos en 10 puntos, en principio nos quedaríamos tranquilos con este 8 al estar por debajo.

Ahora medimos los Datos que hemos decidido que mejor evalúan la eficacia de ese Control y se dictamina que NO cumple y que no es eficaz, luego la mitigación corregida sería penalizada al valor de tan solo un 30%  (como resultado de esta operación 60% * 50%). Según esto el RRC sería 20 * (1 - 30%) = 14 puntos (aplicando [3]). Y vaya, ahora ya no estamos tranquilos porque superamos el valor 10 de apetito aceptable. Y a partir de ahí, el Responsable de Cumplimiento decidirá qué debe solicitar a la compañía para corregir este problema.

Siguiendo este hilo conductor podríamos llegar a la conclusión de que para estar seguros hay que evaluar todas las normas todos los días.

¿Qué evaluar y cuándo?

Nuestra herramienta permite definir el alcance y la frecuencia de las evaluaciones. Hemos además de suponer que las evaluaciones tienen un  coste, bien por el tiempo empleado por los participantes, bien por el coste de la realización de ciertas medidas, luego lo óptimo es identificar qué Normas, o Riesgos específicos, e incluso qué Controles son los más díscolos y sobre los que tenemos que estar permanentemente atentos y deberían ser objeto de una mayor frecuencia de evaluación. Os recordamos que según nuestro modelo, los elementos tienen esta relación jerárquica: 

Empresa - Norma - Riesgo - Control

y a cualquiera de estos niveles podríamos lanzar una evaluación que determinaría unos nuevos valores de los Riesgos Residuales.

La determinación de cuándo y a qué nivel se deben lanzar las evaluaciones debe ser objeto de un análisis específico para determinar el coste/beneficio óptimo acorde con los objetivos de cumplimiento planteados y el apetito al riesgo de la compañía.

Ahora ya sabes que con plantear un modelo de cumplimiento no basta. Hay que medir e implementar en la operativa el ciclo de Deming de mejora continua que garantice en el tiempo que todo está bien, y si no lo está, detectarlo para poderlo corregir.