Este documento discute los riesgos de cumplimiento y ofrece sugerencias para cuantificarlos. Presenta evidencia de que los análisis de riesgo cualitativos como las matrices de riesgo son deficientes y propone enfoques cuantitativos como distribuciones de probabilidad, árboles de decisión y simulaciones de Monte Carlo. Finalmente, recomienda utilizar datos sobre riesgos en lugar de adjetivos para tomar mejores decisiones informadas sobre cumplimiento.
2. Índice
Sugerencias para cuantificar riesgos regulatorios, legales, y contractuales.
1. Evidencia, demandas y tendencias sobre las falencias de los análisis de riesgos de compliance
cualitativos, cubriendo el rol de las ISOs sobre riesgos.
2. Probabilidades cuantitativas de las casuísticas de riesgos de compliance como distribución
normal, logarítmica, triangular PERT, binomial y discreta.
3. Propuesta de una herramienta simplificada y desagregada en MS Excel para evaluar y decidir
sobre riesgos de compliance o contractuales utilizando simulaciones de Monte Carlo en un caso
de discusión.
4. Recomendaciones prácticas al proponer mejoras en las decisiones de cumplimiento y el
desarrollo de “compliance as a product” para obtener un premium en los servicios ofrecidos a
clientes.
Riesgos - Prof. H Huwyler
4. Evaluación cualitativa en compliance
Riesgos - Prof. H Huwyler
Utiliza una clasificación numérica
predefinida
criterios de riesgo, puntajes o escalas de
calificación
Basado en los juicios de los evaluadores
Produce un mapa de calor de 5 * 5 o 7 * 7
Práctica común en cumplimiento
Matricesderiesgos
5. Evaluación cualitativa en compliance
Riesgos - Prof. H Huwyler
Matricesderiesgos Impacto 1 2 3 4
Regulatorio Posible interés de
los reguladores
Mayor interés del
regulador, posible
investigación
Investigaciones del
regulador, probable
multa, quitas de
licencias y
supervisiones
Alta multa y posible
cierre comercial.
Retira masiva de
productos
Legal Amenazas de
litigios o pequeñas
compensaciones
Numerosos litigios
menores y avisos
de incumplimiento
en contratos
Numerosos litigios
e incumplimientos
contractuales
Numerosos litigios
importantes y
rescisión de
contratos
Reputacionales Titulares locales
por menos de una
semana
Titulares
nacionales y quejas
de clientes
Titulares
internacionales,
acciones
individuales, y
posibles colectivas
Cobertura
internacional
sostenida, gran
pérdida de clientes
Frecuencia 1 2 3 4
Improbable Ocasional Posible Frecuente
7. Evaluación cualitativa en compliance
Riesgos - Prof. H Huwyler
Matricesderiesgos Palabras de probabilidad estimada
Estudio Sherman Kent, 1964
8. Evaluación cualitativa en compliance
Riesgos - Prof. H Huwyler
Matricesderiesgos Léxicos de probabilidad legal
Fore, Joe - Defining Verbal Probability Expressions, 2018
9. Falencias
Riesgos - Prof. H Huwyler
Las matrices de riesgo cualitativas
contradicen la ISO 31000
Ignora la mejor información disponible
Los datos de riesgo no se producen ni se
utilizan
No es compatible con los métodos de
evaluación científica, modelos
estadísticos no teoría de probabilidad
No producen decisiones bien
informadas
Son hechas para “paper compliance” e
informes externos
10. Falencias
Riesgos - Prof. H Huwyler
Las matrices de riesgo cualitativas
contradicen la ISO 31000
No pueden comparar los beneficios
potenciales contra los costos de las
opciones de tratamiento
Asignaciones de recursos subóptimas
Ignora el lenguaje de los negocios: el
dinero
11. Falencias
Riesgos - Prof. H Huwyler
Las matrices de riesgo cualitativas
contradicen la ISO 31000
No establece un monto a los criterios de
riesgo
Clasificación arbitraria en rojo, amarillo
y verde para tolerancia
Escalas ordinales inconsistentes (dos
riesgos en 2 <> un riesgo en 4) lo que
evita la agregación de riesgos
12. Falencias
Riesgos - Prof. H Huwyler
Las matrices de riesgo cualitativas
contradicen la ISO 31000
Desprecia a los factores culturales
Los sesgos no se reducen en las
evaluaciones de creación de consenso
La calificación requiere interpretación
subjetiva
Inconsistencias en la evaluación por
cambio de evaluadores
Se evitan los valores extremos por parte
de los evaluadores
13. Falencias
Riesgos - Prof. H Huwyler
Las matrices de riesgo cualitativas
contradicen la ISO 31000
Incumplen con el principio de resultados
consistentes
Consideran solo un escenario, evento de
pérdida única
Usa escalas arbitrarias como las
etiquetas de alto a bajo
La compresión de las escalas de
calificación desencadena inconsistencias
en los niveles de riesgo
14. Falencias
Riesgos - Prof. H Huwyler
Las matrices de riesgo cualitativas
contradicen la ISO 31000
El horizonte temporal cambia de una
vez cada 10 años a mensual
La priorización del riesgo depende de la
clasificación de criterios (criterios
ascendentes 1-5 o descendentes 5-1)
No considera los riesgos de bajo valor
16. Falencias
Riesgos - Prof. H Huwyler
Las matrices de riesgo cualitativas
contradicen la ISO 31000
Crea una ilusión de comunicación
Para una decisión grupal, es fácil
ponerse de acuerdo en términos vagos
> “la corrupción es un riesgo alto"
Comunicación poco clara mediante el
uso de hechos no medidos > falta de
riesgo y decisiones de retorno
No se puede mejorar el rendimiento >
no calcula las pérdidas en diferentes
escenarios
17. Evidencia científica contra las matrices de riesgos y mapas de calor
Riesgos - Prof. H Huwyler
What is wrong about risk matrices, Tony Cox, 2008 > peor
que inútiles
Further thoughts on the utility of risk matrices, David Ball,
2013 > imagen no confiable
Back to basics: risk matrices and ALARP, Glen Wilkinson,
2009
The risk of using risk matrices, Philip Thomas, 2013
Summarizing risk using risk measures and risk indices,
Cameron MacKenzie, 2014
Cognitive and motivational biases in decision and risk
analysis, Gilberto Montibeller, 2015
The interdiscursive appeal of risk matrices, Silvia Jordan,
2016
18. Riesgos - Prof. H Huwyler
El uso de
herramientas no
científicas es mala
praxis y fraude
19. Preguntas usuales
Riesgos - Prof. H Huwyler
¿Cómo cuantifica las pérdidas de reputación? > Pregunte a
marketing ... créame, ellos saben
No tenemos datos > Entonces, comience generando datos ...
los tomadores de decisiones están llenos de datos en 2020
Al evaluar un accidente potencialmente mortal, ¿cómo
valoras una vida? > De la misma manera que tu aseguradora
La cuantificación es demasiado trabajo > Bien, usar la bola
de cristal es aún menos trabajo
¿Cómo valoras los intangibles? ¿Cuál es el valor de los
datos? > Fácil, los ingresos futuros de los intangibles o
cuánto está dispuesto a pagar por estos
20. ¿Qué clase de profesional estás
dispuesto a ser?
¡SABE TUS RIESGOS YA!
EL REY DEL COMPLIANCE
23. Distribución de pérdidas en compliance
Riesgos - Prof. H Huwyler
Reserva para
incumplimientos
Pérdidas
cubiertas
Pérdidas no
cubiertas
24. Distribución de probabilidad
Riesgos - Prof. H Huwyler
Distribución normal
Gaussiana
Curva en forma de campana
Los valores medios son los más
comunes
Violaciones de cumplimiento
provocadas por errores humanos
Los riesgos legales no suelen seguir una
distribución normal > baja frecuencia
25. Distribución de probabilidad
Riesgos - Prof. H Huwyler
Distribución logarítmica normal
Producto multiplicativo de muchas
variables aleatorias independientes.
Eventos de cola pesada
Impacto de las infracciones de
cumplimiento en las redes sociales >
Desvanecimiento lento
Tiempo en detectar fraude
Días para cerrar una queja de cliente
26. Distribución de probabilidad
Riesgos - Prof. H Huwyler
Distribución triangular
Valores mínimos, más probables y
máximos
(Mín. + Base + Máx.) / 3
Se enfatizan los extremos
Regulaciones con penas o multas
mínimas y máximas
27. Distribución de probabilidad
Riesgos - Prof. H Huwyler
Distribución PERT
Valores mínimos, más probables y
máximos
(Mín. + 4 * Base + Máx.) / 6
No se enfatizan los extremos
Común en la mayoría de las
herramientas de software de riesgo
Frecuentemente usado para modelar la
opinión de un experto
Riesgos de cumplimiento provocados
por demoras
28. Distribución de probabilidad
Riesgos - Prof. H Huwyler
Distribución binomial
Dos resultados mutuamente
excluyentes
Posibilidad de éxito al 50%
Posibilidad de falla al 50%
Control de cumplimiento efectivo o
ineficaz
Pérdida de concesiones, impuestos o
beneficios.
Aprobación de una licencia
29. Distribución de probabilidad
Riesgos - Prof. H Huwyler
Distribución discreta
Cada escenario tiene un impacto y
probabilidad
Árbol de decisión
Sanciones discrecionales
Sanciones en cláusulas contractuales
Disputas fiscales
31. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Arboles de decisiones
Calculo de pérdidas (o ganancias)
esperadas bajo diferentes escenarios
con sus probabilidades
Permite evaluar opciones múltiples
Orientado a la toma de decisiones como
hasta cuando invertir en controles de
cumplimientos o seguros
32. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Arboles de decisiones
Me han ofrecido un nuevo software para gestionar los
pedidos de acceso a información personal por 20k EUR al
año.
Estimo que puede reducir los incumplimientos por entregas
incompletas y fuera término en un 90% de los pedidos.
Actualmente, hay un 25% de probabilidades de recibir
multas por 25k EUR y 5% de probabilidades de recibir
multas altas por 100 EUR al año.
33. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Arboles de decisiones
¿Nuevo
software?
Si – 20 EUR
No –0 EUR
Multa base -25K
Multa alta -100K
Multa base -25K
Multa alta -100K
No multas 0K
No multas 0K
2,5%
25%
-.63
-0,5
-6,25
-5
0
0
-11,25
-1,13-20= 21,13
34. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Simulación de Monte Carlo
Evaluar los resultados de más de 10.000
escenarios aleatorios
Simula múltiples probabilidades sobre
valores de varias variables o hipótesis
de un plan de negocio
Utilidad para muchos riesgos de
compliance
35. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Simulación de Monte Carlo
Estas evaluando riesgos en un contrato para un
proyecto de construcción
Ya has facilitado la identificación y evaluación de los
riesgos contractuales que involucran a los gerentes de
proyecto y expertos funcionales
De acuerdo con tu política de tolerancia al riesgo, debes
establecer una reserva para cubrir las pérdidas de
cumplimiento en más del 80% de los escenarios
evaluados
¿Cuál es el valor de la reserva para este contrato?
36. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Simulación de Monte Carlo
# Riesgos contractuales / Projecto Construcción Impacto
Mejor caso
realistico
(5th percentil)
Caso base
(50th percentil)
Peor caso
realistico
(95th percentile)
1 Penalidades y disputas pueden ser causadas por
incumplimiento de los requisitos contractuales de calidad.
50,000 EUR 90,000 EUR 300,000 EUR
2 Penalidades pueden ser causadas por demoras en el
cumplimiento de los compromisos contractuales.
30,000 EUR 100,000 EUR 300,000 EUR
3 Sobrecostes pueden causarse por fraudes y colusión con
subcontratistas
0 EUR 0 EUR 250,000 EUR
4 Sobrecostes pueden causarse por suspensiones de
permisos de trabajo
0 EUR 700 EUR 100,000 EUR
5 Sobrecostes pueden causarse por demoras en la
obtención de licencias administrativas
0 EUR 35,000 EUR 60,000 EUR
6 Multas pueden darse a partir de inspecciones sobre las
leyes ambientales
500 EUR 4,000 EUR 45,000 EUR
7 Multas pueden ocurrir por incumplimiento de las leyes de
seguridad y salud en el trabajo
0 EUR 8,000 EUR 24,000 EUR
37. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Simulación de Monte Carlo
Bin Frequency % % Acum
92,700 EUR 1 0% 0%
183,130 EUR 414 4% 4%
273,560 EUR 7238 72% 77%
363,990 EUR 788 8% 84%
454,420 EUR 885 9% 93%
544,850 EUR 545 5% 99%
635,280 EUR 57 1% 99%
725,710 EUR 67 1% 100%
816,140 EUR 3 0% 100%
More 2 0% 100%
297,000 EUR Reserva
38. Técnicas cuantitativas
Riesgos - Prof. H Huwyler
Reflexiones
Riesgos inherentes
Evaluación sin datos por ser escenarios
no plausibles ni valor para la gestión, no
hay procesos sin controles
Criterios cuali-cuantitativos
Las desventajas del criterio cuantitativo
y cualitativo y las ventajas de ninguno
Sistemas de scoring
Aunque tienen números son cualitativos
que solo generan una “ensalada de
datos” sin sustento de su ponderación
44. La evaluación cualitativa no es
un paso hacia la evaluación
cuantitativa
La astrología no fue un paso
hacia la astronomía
45. Toma de decisiones con riesgos cuantificados
Riesgos - Prof. H Huwyler
Estrategia Reporte Preguntas
Transferencia
(risk financing)
Seguros ¿Bajo qué condiciones debo contratar una póliza?
Outsourcing ¿Qué proceso me conviene tercerizar y a qué valor?
Contratación ¿Qué clausula me conviene renegociar?
Tratamiento Controles de
cumplimiento
¿Hasta qué valor debo invertir en la prevención por
controles de cumplimiento?
¿Hasta qué valor debo invertir en planes de
contingencia?
Terminación Go-No go ¿Este contrato me está pagando un retorno por los
riesgos contractuales que asumo?
¿Qué cliente me conviene invertir para vender un
servicio?
Tolerancia Monitoreo ¿Qué controles debo monitorear?
46. Fuentes de información
Riesgos - Prof. H Huwyler
Internas
estadísticas de litigios, multas y reclamos, uso de la
línea de ayuda e investigaciones, quejas de clientes,
informes de auditoría, fraudes, reclamos de seguros,
incumplimientos de contratos, narrativas de
cumplimiento, informes de excepción de
cumplimiento, exenciones de pólizas, disputas con
contratos actuales, planes comerciales futuros, tareas
de cumplimiento en descripciones de trabajo,
encuestas de cultura
47. Fuentes de información
Riesgos - Prof. H Huwyler
Externas
incumplimientos por parte de los competidores,
informes de industria o sector, noticias sobre
incumplimientos de compliance, informes del
regulador, asesoramiento externo, investigaciones
regulatorias (para empresas pares o más), reglamentos
y normas propuestas
48. Fuentes de información
Riesgos - Prof. H Huwyler
Preguntas de un fiscal
DOJ 2020 Guidance on the Evaluation of Corporate Compliance Programs
¿Qué metodología usa para evaluar los riesgos del
programa de cumplimiento?
¿Qué información usa para evaluar esos riesgos?
¿Cómo asigna recursos en controles de cumplimiento a
los riesgos?
¿Cómo establece los valores límites para los controles
(e.g. valor para hacer un due diligence reforzado, aprobaciones)
¿Tiene un sistema para considerar las lecciones
aprendidas de incumplimiento de su empresa y
competidores?
49. Consejos
Riesgos - Prof. H Huwyler
Los cambios en el entorno hacen que los
datos pasados sean irrelevantes
Los datos deben cubrir casos de más de
60 eventos de riesgo
Las fuentes de datos deben ser
confiables