Como asesor jurídico en materia regulatoria, he revisado muchos planes de cuentas IRA. La semana pasada encontré uno que me gustaría usar como ejemplo didáctico.
Qué contenía, por qué se mantuvo vigente y el estándar que revela.
Llevaba tiempo pensando en escribir sobre este tema, y el momento resultó ser el adecuado. Estaba revisando la evaluación de riesgos institucionales (IRA) de un cliente, como parte de un proyecto más amplio de cumplimiento normativo, cuando me di cuenta de que el documento que tenía delante era, en muchos sentidos, un caso práctico sobre cómo debería ser una IRA sólida. Así que, en lugar de escribir en abstracto, permítanme explicarles qué fue lo que más me llamó la atención y por qué es importante.
Comenzó con una metodología clara.
Lo primero que me llamó la atención fue la transparencia con la que el cliente había expuesto su metodología. No había lugar a dudas sobre qué estaban midiendo ni cómo. El documento detallaba los riesgos que se estaban midiendo, la fórmula utilizada para medirlos, los criterios para evaluar el impacto y la probabilidad, qué define un riesgo como bajo, medio o alto, las medidas de mitigación que se estaban aplicando y el nivel de riesgo aceptable de la empresa para cada factor de riesgo, con una justificación de por qué se había establecido dicho nivel.
Este último punto merece especial atención. El cliente no se limitó a declarar su tolerancia al riesgo, sino que la explicó. Por ejemplo, en lo que respecta al riesgo de los clientes, había establecido una tolerancia elevada. La razón era que la empresa podía gestionar sin problemas un gran volumen de operaciones con personas políticamente expuestas (PEP) y activos virtuales, gracias a las medidas de diligencia debida reforzada (EDD) y la infraestructura de apoyo implementadas para gestionar dicha exposición. Esta tolerancia no era un simple deseo, sino una postura fundamentada en las capacidades reales de la empresa.
Esto es lo que le da a una IRA su primera capa de protección. Si un regulador pregunta por qué un riesgo en particular ha sido calificado de esa manera, la respuesta ya está en la página.
Frecuencia de revisión, pero más importante aún, los factores desencadenantes.
El segundo aspecto que me impresionó fue cómo el cliente había gestionado la frecuencia de las revisiones. Muchas cuentas IRA se limitan a mencionar la revisión anual y ahí se quedan. Esta no lo hizo.
El documento establecía el ciclo de revisión estándar, pero también definía los factores desencadenantes que darían lugar a una revisión fuera de dicho ciclo. Estos factores incluían deficiencias importantes derivadas de los hallazgos de auditoría y, fundamentalmente, el documento definía qué significaba "importante", por lo que no había margen para interpretaciones erróneas. Otros factores desencadenantes incluían un cambio en el volumen de informes de actividades sospechosas (SAR, por sus siglas en inglés) presentados, la introducción de nuevos productos o servicios y la entrada en nuevas jurisdicciones o mercados.
Esto es importante porque el riesgo no espera al calendario. Un regulador que evalúa un plan de inversión individual (IRA) quiere ver que la empresa sea consciente en tiempo real de cuándo su perfil de riesgo ha cambiado lo suficiente como para justificar una reevaluación. Identificar y definir los factores desencadenantes demuestra esa conciencia.
Propiedad y escalamiento
El tercer elemento era sencillo, pero a menudo se pasaba por alto: la IRA identificaba claramente quién era el responsable de actualizarla y qué asuntos requerían una intervención más urgente. Se definieron los responsables y los procedimientos para la resolución de problemas. No había ambigüedad sobre quién tenía la potestad de redactarla y a quién se debía informar cuando se produjeran cambios.
Lo que me hizo dudar y lo que lo resolvió
Aquí es donde mi análisis dio un giro interesante. Al usar la herramienta cuantitativa, noté una cantidad considerable de riesgo residual elevado. Mi instinto, adoptando mi perspectiva crítica, me impulsó a cuestionarlo. ¿Acaso el riesgo residual elevado no debería ser la excepción, y no una característica recurrente?
Pero entonces volví a la metodología. El cliente había sido explícito sobre qué riesgos residuales elevados se aceptarían y qué factores debían estar presentes para que dicha aceptación fuera válida. Al analizar esos factores con la herramienta, comprobé que se habían abordado y demostrado. La justificación era que el riesgo residual elevado se había evaluado, los controles seguían siendo proporcionales y suficientes, y la exposición se encontraba dentro del nivel de riesgo aceptable declarado por la empresa.
Eso no es lo mismo que ignorar el riesgo. Es aceptarlo con pleno conocimiento de causa, en términos documentados y con controles calibrados en consecuencia.
No pretendo sugerir que esto nunca pueda ser cuestionado por un regulador. Podría serlo. Pero, según mi experiencia asesorando a clientes en estos asuntos, existe una diferencia significativa entre una evaluación que invita a la impugnación sin ofrecer argumentos de respaldo y una que anticipa la impugnación y la responde por escrito. La metodología y la herramienta, trabajando en conjunto, defendieron la posición del cliente. Y, lo que es más importante, lo que figuraba en el IRA se reflejaba en sus políticas y procedimientos. La información era coherente en todos los documentos.
¿Qué lo hace defendible?
Al analizar la situación con perspectiva, me doy cuenta de que la solidez de esta IRA no radicaba en una sola característica, sino en la presencia interrelacionada de varias:
- Una metodología que se explicaba por sí misma.
- Un apetito por el riesgo que se basaba en el razonamiento, no en una afirmación.
- Revisar los factores desencadenantes que fueran específicos y definidos.
- Responsabilidad clara y escalamiento.
- Una herramienta cuantitativa que aplicó la metodología fielmente.
- Políticas y procedimientos que se ajustaban a la evaluación.
Un regulador aún puede plantear preguntas. Ese es su trabajo. Pero una IRA defendible es aquella que responde a esas preguntas con respuestas ya establecidas. No garantiza que la empresa nunca será cuestionada. Garantiza que, cuando surja el cuestionamiento, la empresa podrá respaldar su postura.
Ese es, en mi opinión, el estándar al que vale la pena aspirar, y el estándar que busco al revisar estas evaluaciones como asesor regulatorio.
Qué hacer con el tuyo
- Documente su metodología de forma explícita: Los riesgos que se están midiendo, la fórmula utilizada y los criterios para cada nivel de calificación, para que un revisor pueda seguir la lógica sin necesidad de preguntar.
- Defina su tolerancia al riesgo con una justificación, no con una declaración., basado en los controles y capacidades reales de la empresa.
- Agregar activadores de revisión fuera de ciclo con umbrales definidos. “El término "material" no constituye un umbral a menos que se especifique qué significa en ese contexto.
- Indique la titularidad del nombre y las vías de escalamiento en el documento.
- Pon a prueba tu herramienta cuantitativa comparándola con la metodología que has establecido. Las calificaciones que produce la herramienta deben derivarse directamente de los criterios que define la metodología.
- Verifique su cuenta IRA comparándola con sus políticas y procedimientos. Si la historia que cuentan es inconsistente, esa inconsistencia se convierte en un hallazgo.
Si quieres entender cómo es construir según este estándar en la práctica
El jueves 18 de junio, Gold Leaf impartirá la Masterclass sobre IRA, una sesión práctica de tres horas y media dirigida a responsables de prevención del blanqueo de capitales (MLRO), responsables de cumplimiento normativo y equipos de lucha contra el blanqueo de capitales (AML). Analizaremos en detalle los requisitos de una IRA sólida, incluyendo la metodología, los factores desencadenantes y la lógica del riesgo residual, basándonos en nuestra experiencia en materia regulatoria.
Si su cuenta IRA no ha sido revisada conforme a este estándar, la sesión del 18 de junio es donde lo analizaremos. Registro aquí.