Visión Global del Gobierno Corporativo y de la Responsabilidad Social Corporativa

  1. Introducción
  2. Papel del Consejo en el control interno
  3. La función de control y la gestión de negocios
  4. Integración de todos los elementos relacionados con GRSCC (El Gobierno Corporativo, Responsabilidad Social Corporativa y el Cumplimiento) y control del riesgo
  5. Ideas prácticas

  1.Introducción

Recogemos experiencias sobre procesos de automatización de sistemas de control y gestión de riesgos, tecnológicos o no, de auditoría, control interno y de los procesos de las entidades relacionados con el cumplimiento, gobernanza y mandatos del Consejo sobre responsabilidad social corporativa, con el foco puesto en la automatización y, en cierta medida, en la analítica predictiva.

Se trata de pasar de unas funciones segregadas en cuanto al control de riesgos sobre elas cuestiones señaladas, a una visión holística, que incorpore también nuevas cuestiones que se vayan presentando.

 

  • Hay dos ideas a destacar. Una, la conveniencia de disponer de un sistema donde se integren los controles y que permita no solo un seguimiento, sino la gestión del riesgo global; dentro de esta gestión está la capacidad de anticipar, por la información y el conocimiento que contiene el propio sistema, riesgos futuros.
  • La otra idea es la conveniencia de integrar los procesos de control de GRSCC (El Gobierno Corporativo, Responsabilidad Social Corporativa y el Cumplimiento) y otros relacionados con el riesgo, con el seguimiento y desarrollo del negocio; de esta forma, se pone el negocio en el centro de la lógica de la actividad integral de la entidad, y los procesos de control como un requisito y un apoyo al mismo.

Elementos para un sistema de gobierno corporativo, control y gestión del riesgo, y cumplimiento

En el esquema se parte de un riesgo asumido, por ejemplo en la cartera crediticia en una entidad financiera, o en una campaña agresiva de marketing donde haya que considerar riesgos de responsabilidad social corporativa, ponderado con el negocio que se quiere conseguir; y disponiendo de unos procesos de control. Estos elementos se integran en una visión de negocio donde se combina riesgo y rentabilidad. La gestión del balance se vincula también a un sistema de control de riesgos. Por último, el sistema en que se integran estos conceptos en forma de procesos, debe producir de manera automática un reporting, utilizable de manera intuitiva, como un cuadro de mando.

  2.Papel del Consejo en el Control Interno

  • Veremos el papel del Consejo en el control interno, y la utilidad de una integración de las formas de control.
  • En primer lugar se señala la volatilidad económica y financiera que da lugar a escenarios difícilmente predecibles, y riesgos de decisiones incorrectas, o falta de posicionamiento; por ejemplo, ante la propia reacción de la competencia. En este sentido el control del desarrollo de las estrategias definidas por el Consejo es un asunto de máxima relevancia.
  • En segundo lugar, consideramos los cambios tecnológicos y la velocidad con que se producen, y la dificultad para ponderar sus beneficios y sus riesgos. A veces estos cambios se presentan como una exigencia ante la que caben pocas posibilidades de elección; sin embargo, el control del riesgo tecnológico resulta ineludible.
  • Tercero, la regulación puede considerarse un elemento complejo en evolución continua, y va desde las líneas que señalan la legislación comunitaria, a la trasposición a la legislación nacional. En el caso de las entidades financieras está también la interpretación y expectativas que tiene el propio supervisor. En el caso del marketing que apuntábamos anteriormente, sería el riesgo que introduce la nueva normativa de protección de datos, y también las expectativas de gobernanza y cumplimiento por parte del supervisor protector de datos. El control interno en forma de control del cumplimiento normativo, se extiende prácticamente a toda la actividad, en cualquier caso.
  • Y en cuarto lugar, la atención especial que se dedica por parte de reguladores, supervisores e inversores a los miembros de los Consejos en el caso de sociedades cotizadas. A cuestiones más familiares como el Comité de Auditoría, se añaden la definición y seguimiento de la estrategia de la empresa, su propuesta ante el riesgo y el control del mismo.
  • La idea básica que aparece de forma recurrente es la definición de los procesos de control y su elaboración, que tiene un componente de diseño y un componente tecnológico. Hay que pasar de las políticas y decisiones concretas de los Consejos a los procesos concretos de implantación y control. Estos procesos deben ser accesibles a todos los que tengan un interés en la entidad (stakeholders).
  • Las variables críticas que se tienen en cuenta para estos procesos de control interno son:
  1. El propio funcionamiento (gobernanza, principios de RSCC), del Consejo de Administración.
  2. Su integración con el nivel ejecutivo.
  3. Definición de objetivos de seguridad razonables, como la eficiencia operativa de todo tipo (gestión de tesorería, o de bases de datos por citar dos ejemplos muy distintos), y el nivel y la forma de protección de los activos.
  4. Información que se genera, cómo se procesa, cómo se utiliza para uso interno y externo.
  5. Los objetivos específicos en cuanto a cumplimiento (por ejemplo sobre el nivel requerido de preparación de los recursos humanos en relación con la producción o servicio que se presta).
  • La nueva Ley de Auditoría y Comités internos, además de independencia de los miembros de la comisión y conocimiento de los temas, se refiere a la forma de gestión de los riesgos.

3.La función de control y la gestión de negocios

Es de destacar la filosofía de integración del negocio con el proceso de control y gestión del riesgo, considerando el riesgo de manera compleja –esto es, no sólo el riesgo de crédito en una entidad financiera, y no sólo el de protección de datos en marketing-.

  • Estos temas se tratan por personas de departamentos de control, y prácticamente las cuestiones se ven desde la perspectiva de la integración de la información para ganar en capacidad de control y de negocio. De hecho se definen los procesos y los reporting a stakeholders desde esta perspectiva. En este sentido, integrar en una plataforma o sistema, gobernanza, riesgo y cumplimento puede ser laborioso, pero no es conceptualmente complejo. Sí lo es la utilización integrada con el negocio, pero la utilidad de un sistema de estas características  no es solo de Gobernanza, Riesgo y Cumplimiento (GRC) sino que ayuda al negocio.
  • La discusión se plantea en torno a sistemas que ofrecen soluciones parciales de GRC, a los que estamos añadiendo la Responsabilidad Social Corporativa (RSC)  tal como la acuerde el Consejo, y luego los integran, frente a un enfoque holístico donde la solución es única desde el principio, integrando las distintas áreas de control en una plataforma o sistema, la cual produce también el reporting necesario.
  • Como ejemplo, los procesos de distintas áreas de control se desarrollarían en una única plataforma, tal como se presenta en nuestro esquema.

  • Una novedad que incorpora este tipo de sistemas de control es que, en un modelo tradicional los sistemas de control se diseñan para cada una de las funciones de control que se definen. En el modelo actual, los sistemas de control interaccionan a través de la plataforma con las funciones de control, dentro de un modelo de negocio.
  • En los esquemas siguientes representamos estas dos formas de ver las funciones de control. De manera separada, aunque puedan integrarse dentro de una única visión de control; y de manera que las funciones de control interactúen en un sistema de control.

  4.Integración de todos los elementos GRSCC y control del riesgo

  • Desarrollamos algunas cuestiones que parecen interesantes de estas aplicaciones integradas.

– Podemos disponer de una aplicación para seguir regulaciones, mediante conexión con Bloomberg, Reuters, donde aparecen contenidos de regulaciones a partir de las web correspondientes. Permite la gestión documental, las revisiones asociadas y el análisis de los cambios que se vayan produciendo. Una vez que están disponibles y actualizadas las normas, qué requerimientos específicos nos afectan y en qué plazos. La consulta estaría abierta a departamentos de informática, jurídico o marketing, que puedan tener interés en la normativa. Esto se amplía con negocios como el de seguros, fondos de inversión, el inmobiliario adjudicado, sujetos a normativas diversas. Obviamente se tendrá en cuenta el principio de proporcionalidad, según las características de la empresa y el sector.

– Como consecuencia de lo anterior deberían producirse acciones en los procesos, tal como reflejamos en el esquema.

Podemos pensar, por ejemplo, en la normativa sobre colocación de fondos de inversión; de la misma, Cumplimiento Normativo saca una conclusión sobre la necesidad –pongamos por caso- de contar con una formación certificada de los empleados, y recomienda un programa formativo. Pero esta información la tienen también en Marketing, en Negocio, en la SGIIC, en Banca privada, en Recursos Humanos; ¿cómo se articula en un proceso de formación?, ¿cómo se sigue?, ¿quién lo sigue?, ¿cómo influye esta información y las acciones correspondientes para dar lugar a soluciones que casen con los objetivos sobre Gobierno, Riesgo, Cumplimiento, definidos por el Consejo de Administración? Puede pensarse en otros ejemplos para empresas no financieras, como puede ser una plataforma que en vez de fondos de inversión se dedique a la distribución de habitaciones para alquiler vacacional.

 

  • Una tercera cuestión es el uso de esta información integrada, desarrollando estadísticas para identificar riesgos. Por ejemplo, trabajando con datos históricos de la entidad pueden detectarse fallos, y hacer simulaciones sobre esta experiencia histórica completa, y no solo sobre muestras.
  • En suma, parece existir un claro interés en implantar plataformas de información y gestión integrada de riesgos, para dar una respuesta a los supervisores, a los inversores, y al Consejo de Administración, en sus preocupaciones sobre el tema.
  • La inversión que se necesita hacer dependerá de las característica de la empresa, pero requiere un proceso interno en la entidad de consolidar los procesos que se realizan en diferentes departamentos relacionados con el control; luego, poner en marcha esta plataforma, y dominarla para sacar de ella las utilidades que se habían previsto. La contrapartida en términos económicos estaría en lo que se pueda ganar por mejor organización del negocio y también, en su momento, en los recursos dedicados al control puro, que podrían optimizarse.
  • La experiencia puede dar lugar a lo siguiente:

– Formalizar los procesos para implementarlos en sistemas automatizados.
– Un lenguaje común entre áreas.
– Un catálogo común de riesgo compartido por las áreas.
– Integrar y compartir información entre controles internos y controles operacionales.

 

Las empresas suelen tener, por supuesto, sistemas de control y autoevaluaciones de los mismos, que son seguidos, discutidos, y sobre los que se adoptan medidas, en su caso. Pero se hace de manera individualizada por áreas, en soporte Excel o Access, y luego se ponen en común en comités periódicos.

Es obvio que las empresas pueden pensar que disponen de buenos sistemas de control que han ido perfeccionando a lo largo del tiempo. Pero de lo que aquí se trata es de pasar de una información separada por áreas a  una información instantánea compartida. Se trata de volcar todo lo que se hace en relación al riesgo (catálogo de riesgos) en una aplicación. Es una buena ocasión para repasar todos los controles, eliminando lo que no son necesarios. Por ejemplo, es habitual que en el negocio se incida en seguimiento de objetivos desde distintos niveles de la entidad y con procedimientos heterogéneos. Esto puede sustituirse por un único control en una plataforma, accesible a quienes se determine que deben tener esta función. Un rasgo importante es que la herramienta no es solo para la dirección de la entidad, sino de colaboración departamental, y sobre todo con Sistemas (Informática).

Disponer de una plataforma permite un seguimiento permanente, la trazabilidad de la información, la facilidad para trabajar estadísticamente con la misma, y la emisión de informes (reporting) de manera automática. Trabajar con un sistema estadístico es lógico, pues para valorar un riesgo tenemos que valorar la posibilidad (probabilidad) de que un acontecimiento ocurra y establecer una relación causal de forma que afecte a objetivos identificados.

El “feed back” que permite trabajar con una plataforma va más allá de controlar que se ha hecho el trabajo programado, que se celebran las reuniones previstas, que sus actas son satisfactorias, y aparte de las facilidades que esta tecnología permite para el tratamiento de la información, da como resultado un marketing interno respecto a la gobernanza, la responsabilidad social corporativa, el riesgo y el cumplimiento, extendiendo esta sensibilidad a toda la plantilla, más allá de los departamentos y comités formalmente responsables.

  5.Ideas Adicionales

  • Los procesos de control hay que diseñarlos de acuerdo con los objetivos establecidos por el Consejo, implantarlos, y gestionarlos. En este caso se trabaja con dos módulos. Un módulo que es una visión integrada de procesos de control interno; y otro, de cumplimiento normativo.
  • La evaluación del modelo se hace subiendo “evidencias” (realización de control, reuniones, actas) a la herramienta, sistema o plataforma, para comprobar que se controla adecuadamente el riesgo siguiendo los procesos establecidos. Es fácil mediante la recepción de un correo electrónico automático de aviso, la confirmación de que se ha realizado el control. Tiene proporciona facilidades de reporting.
  • Se establece que cada tipo de control se hace una sola vez, y se evitan redundancias. Por ejemplo, puede aplicarse a controles respecto a fondos de inversión: ventas de fondos según objetivos; traspasos entre fondos; sustitución de fondos que ya no se comercializan tan activamente, como los garantizados, por otros; política de comisiones; cumplimiento de normativa MiFID; cumplimiento de requisitos de formación del personal; riesgos potenciales de iliquidez en las carteras. Hay diversos riesgos y controles, en negocio y otras áreas, incluyendo la propia gestora. Deben evitarse controles redundantes, como por ejemplo de seguimiento de objetivos en la red desde distintos niveles de control; y disponer de una visión integrada de los controles. Y siguiendo con nuestro ejemplo de una plataforma de distribución de habitaciones en alquiler vacacional, puede hacerse una traslación de lo anterior a este servicio –obviamente con todas sus peculiaridades, pero el fundamento es común-.
  • Gestión de políticas definidas por el Consejo. Hay dos niveles en la herramienta, sistema o plataforma: el proceso mismo de cumplimiento; y el proceso de comunicación de la política. Esto último es muy significativo, ya que precisamente una de las cuestiones más actuales hoy día son los mecanismos de comunicación entre el Consejo y los niveles ejecutivos de la entidad, y entre estos y los departamentos correspondientes.
  • Por último, se establece un nivel de acceso a la herramienta según responsabilidad. El acceso puede graduarse, desde la simple consulta, a incorporar información, o decisiones dentro del proceso de gestión. Este aspecto se desarrolla a continuación.

Interactuación de gestión, control, auditoría

 

Cada riesgo tiene un responsable (“propietario” en la terminología informática), que evalúa periódicamente la probabilidad del impacto. Para ello se dispone de una base de datos propios para calcular la distribución de probabilidad del riesgo. Aquí se puede ver la utilidad del enfoque integrado en el enriquecimiento de la base de datos sobre la cual se va a trabajar con métodos estadísticos.

 

  • Cada riesgo tiene un indicador asociado; por ejemplo porcentaje de incumplimiento de objetivos, volumen de incidencias en el caso de habitaciones de alquiler vacacional, quejas, evolución de precios respecto a mercado, fraudes.
  • Los riesgos materializados han de ser gestionados, y esa gestión debe ser objeto de seguimiento.
  • Las propuestas de nuevos riesgos identificados deben analizarse para, en su caso, incorporarse.
  • El riesgo se clasifica en el modelo de datos según tipo de negocio y las causas probables del mismo. El riesgo es una función de los atributos del riesgo en sí, y del proceso de control del mismo. Puede establecerse el siguiente esquema de relaciones.

  • Desde otra perspectiva, se analizan las líneas de defensa que permite el enfoque integrado en la plataforma, en relación con un seguimiento fragmentado del riesgo, aunque posteriormente se integre.

 

Líneas de defensa

El sistema se puede hacer más simple o más complejo con el uso, como por ejemplo, planificar el lanzamiento de controles, las fechas, la periodicidad, el seguimiento de controles, el control del tiempo, la presentación de los informes.

 

  • Una función principal de la herramienta o sistema,es avisar a los responsables de negocio de las tareas pendientes. Se trabaja con un pdf interactivo que puede rellenarse directamente; ya tiene la información básica cargada para completar y anexar, en su caso. El usuario no accede a la herramienta en sí, sino al pdf.

Entendemos que hay tres grandes líneas de trabajo:

  1. Qué evidencia hay que adjuntar, incorporar, a la herramienta sobre las variables objeto de control, como puede ser que las características de los alojamientos o habitaciones que se alquilan por la plataforma se corresponden con la realidad.
  2. Qué información se recibe sobre si se está cumpliendo bien o no con el proceso establecido para control del riesgo.
  3. Un resultado final, sobre si se funciona o no adecuadamente, en forma de reporting. La posibilidad de incorporar comentarios si se ve oportuno.

Todo esto se hace habitualmente, la diferencia es que aquí se facilita el trabajo con una herramienta única, se evitan errores, y la información es fácilmente accesible y compartible.

  • Podemos ver mejor en qué consiste en el siguiente esquema.

  • En cuanto a la explotación de los datos, destacamos la evaluación histórica del riesgo, fraudes por zonas, y el cálculo de probabilidades de impacto. También, la posibilidad de añadir información nueva. Y, por último, la necesidad o no de proceder a una revisión del modelo.
  • Los riesgos que se controlan son todos los que se pueden definir; por ejemplo, control de ingresos de negocio, riesgos relacionados con el tema laboral, o control de calidad del servicio.
  • La automatización del control y gestión del riesgo pone unas exigencias al Área de TI, que a su vez debe alimentar el sistema GRC (Gobernanza, Riesgo, Cumplimento), que llamamos la plataforma de integración, y que alimenta el sistema de almacenamiento de datos.

  • Esta automatización permite, por ejemplo, a Auditoría valorar en ipad cómo está funcionando la distribución de habitaciones en épocas punta de alquiler vacacional; integrar documentos, y le facilita búsquedas; se puede controlar el cumplimiento con la fiscalidad y protección de datos; y cuestiones complementarias como el control de accesos.
  • Auditoría planifica y crea un conjunto de diferentes objetos auditables, con una dimensión que pueda ser de personal, financiera, o de riesgo de fraude. Sobre este universo de auditoría se establece el plan de auditoría, o preparación del programa de trabajo, que se carga en el sistema, y de ahí se pasa a la ejecución de una auditoría concreta. Puede accederse desde la herramienta a un plan de trabajo en marcha, y puede generarse un informe de manera automática. Los hallazgos que se produzcan pasarían a control y gestión, y darían lugar a un plan de actuación correctora y, en cualquier caso, a un seguimiento.
  • Los recursos de Auditoría pueden asignarse de manera óptima y pueden asociarse riesgos entre sí, que figuren en la plataforma.
  • Los usuarios de la plataforma pueden tener acceso a una analítica avanzada integrada en la propia aplicación. De esta forma se accede a datos y estadísticas, generando mapas, gráficos, tablas, filtrados, en la preparación de los datos, calculando medias, distribuciones y regresiones. También se establece una conexión con otras variables como la disponibilidad u oferta probable de habitaciones disponibles para alquiler vacaciona en el caso que estamos poniendo de ejemplo, lo que permite relacionarlos.
  • La analítica avanzada puede, si los resultados son significativos, tener utilidades de predicción. El reporting resultante permite incluir en la presentación esta información en forma gráfica, así como logos y textos.
  • De todas formas, lo que hemos expusto se trata de una presentación formal y no de un análisis de riesgos, es una forma de tratamiento de datos para su presentación y sacar conclusiones estadísticas sobre los mismos. Puede ofrecerse en pdf o en un sistema que permita al destinatario trabajar con los datos.
  • En suma, la mejora en la gestión del riesgo surge cuando pasamos del Excel a una herramienta o sistema potente. Todo lo que se pide a la organización se encuentra en un sitio sistematizado, coherente, con una lógica de organización de la información, bien definido, actualizado, con buena información fácilmente disponible, registrada e identificada, trazable, segura, gestionable, más fácil de mejorar.

 

Si eres administrador, consejero o directivo de tu empresa, necesitas proteger tu patrimonio personal.

No importa el tamaño de tu empresa

Grande, mediana o pequeña, con 5 o 100 trabajadores, familiar, con uno o varios socios o que cotice en bolsa.

No importa el tipo de sociedad

Sociedad anónima, sociedad limitada, SLU, CB, cooperativa, asociación, ONG, colegio profesional…

Porque a veces cosas inesperadas ocurren, aunque tú lo hagas todo bien.

Calcula ahora el coste de tu seguro

Este campo es requerido.
Este campo requiere nueve números.
Este campo requiere un correo válido.
Este campo es requerido.
Este campo es requerido.
Acepto la nota legal y RGPD
Por favor, lee y acepta el aviso legal y RGPD.

Recibe nuestros artículos en tu correo

  • No enviamos nunca SPAM
  • No daremos tu correo a nadie
  • No recibirás publicidad de ningún tipo
  • Solo recibirás las noticias que se publiquen aquí

Nombre *

Email *