Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a los métodos tradicionales

Riesgos de compliance
Prof. Hernan Huwyler, MBA CPA
Madrid, Junio 2020

Índice
Sugerencias para cuantificar riesgos regulatorios, legales, y contractuales.
1. Evidencia, demandas y tendencias sobre las falencias de los análisis de riesgos de compliance
cualitativos, cubriendo el rol de las ISOs sobre riesgos.
2. Probabilidades cuantitativas de las casuísticas de riesgos de compliance como distribución
normal, logarítmica, triangular PERT, binomial y discreta.
3. Propuesta de una herramienta simplificada y desagregada en MS Excel para evaluar y decidir
sobre riesgos de compliance o contractuales utilizando simulaciones de Monte Carlo en un caso
de discusión.
4. Recomendaciones prácticas al proponer mejoras en las decisiones de cumplimiento y el
desarrollo de “compliance as a product” para obtener un premium en los servicios ofrecidos a
clientes.
Riesgos - Prof. H Huwyler

Tema 1
Falencias de las evaluaciones cualitativas

Evaluación cualitativa en compliance
Utiliza una clasificación numérica
predefinida
criterios de riesgo, puntajes o escalas de
calificación
Basado en los juicios de los evaluadores
Produce un mapa de calor de 5 * 5 o 7 * 7
Práctica común en cumplimiento
Matricesderiesgos

Matricesderiesgos Impacto 1 2 3 4
Regulatorio Posible interés de
los reguladores
Mayor interés del
regulador, posible
investigación
Investigaciones del
regulador, probable
multa, quitas de
licencias y
supervisiones
Alta multa y posible
cierre comercial.
Retira masiva de
productos
Legal Amenazas de
litigios o pequeñas
compensaciones
Numerosos litigios
menores y avisos
de incumplimiento
en contratos
Numerosos litigios
e incumplimientos
contractuales
Numerosos litigios
importantes y
rescisión de
contratos
Reputacionales Titulares locales
por menos de una
semana
Titulares
nacionales y quejas
de clientes
Titulares
internacionales,
acciones
individuales, y
posibles colectivas
Cobertura
internacional
sostenida, gran
pérdida de clientes
Frecuencia 1 2 3 4
Improbable Ocasional Posible Frecuente

Matricesderiesgos

Matricesderiesgos Palabras de probabilidad estimada
Estudio Sherman Kent, 1964

Matricesderiesgos Léxicos de probabilidad legal
Fore, Joe - Defining Verbal Probability Expressions, 2018

Falencias
Las matrices de riesgo cualitativas
contradicen la ISO 31000
Ignora la mejor información disponible
Los datos de riesgo no se producen ni se
utilizan
No es compatible con los métodos de
evaluación científica, modelos
estadísticos no teoría de probabilidad
No producen decisiones bien
informadas
Son hechas para “paper compliance” e
informes externos

Falencias
No pueden comparar los beneficios
potenciales contra los costos de las
opciones de tratamiento
Asignaciones de recursos subóptimas
Ignora el lenguaje de los negocios: el
dinero

Falencias
No establece un monto a los criterios de
riesgo
Clasificación arbitraria en rojo, amarillo
y verde para tolerancia
Escalas ordinales inconsistentes (dos
riesgos en 2 <> un riesgo en 4) lo que
evita la agregación de riesgos

Falencias
Desprecia a los factores culturales
Los sesgos no se reducen en las
evaluaciones de creación de consenso
La calificación requiere interpretación
subjetiva
Inconsistencias en la evaluación por
cambio de evaluadores
Se evitan los valores extremos por parte
de los evaluadores

Falencias
Incumplen con el principio de resultados
consistentes
Consideran solo un escenario, evento de
pérdida única
Usa escalas arbitrarias como las
etiquetas de alto a bajo
La compresión de las escalas de
calificación desencadena inconsistencias
en los niveles de riesgo

Falencias
El horizonte temporal cambia de una
vez cada 10 años a mensual
La priorización del riesgo depende de la
clasificación de criterios (criterios
ascendentes 1-5 o descendentes 5-1)
No considera los riesgos de bajo valor

Falencias

Falencias
Crea una ilusión de comunicación
Para una decisión grupal, es fácil
ponerse de acuerdo en términos vagos
> “la corrupción es un riesgo alto"
Comunicación poco clara mediante el
uso de hechos no medidos > falta de
riesgo y decisiones de retorno
No se puede mejorar el rendimiento >
no calcula las pérdidas en diferentes
escenarios

Evidencia científica contra las matrices de riesgos y mapas de calor
What is wrong about risk matrices, Tony Cox, 2008 > peor
que inútiles
Further thoughts on the utility of risk matrices, David Ball,
2013 > imagen no confiable
Back to basics: risk matrices and ALARP, Glen Wilkinson,
2009
The risk of using risk matrices, Philip Thomas, 2013
Summarizing risk using risk measures and risk indices,
Cameron MacKenzie, 2014
Cognitive and motivational biases in decision and risk
analysis, Gilberto Montibeller, 2015
The interdiscursive appeal of risk matrices, Silvia Jordan,
2016

El uso de
herramientas no
científicas es mala
praxis y fraude

Preguntas usuales
¿Cómo cuantifica las pérdidas de reputación? > Pregunte a
marketing ... créame, ellos saben
No tenemos datos > Entonces, comience generando datos ...
los tomadores de decisiones están llenos de datos en 2020
Al evaluar un accidente potencialmente mortal, ¿cómo
valoras una vida? > De la misma manera que tu aseguradora
La cuantificación es demasiado trabajo > Bien, usar la bola
de cristal es aún menos trabajo
¿Cómo valoras los intangibles? ¿Cuál es el valor de los
datos? > Fácil, los ingresos futuros de los intangibles o
cuánto está dispuesto a pagar por estos

¿Qué clase de profesional estás
dispuesto a ser?
¡SABE TUS RIESGOS YA!
EL REY DEL COMPLIANCE

Tema 2
Distribución de probabilidad

Distribución de pérdidas en compliance

Distribución de pérdidas en compliance
Reserva para
incumplimientos
Pérdidas
cubiertas
Pérdidas no
cubiertas

Distribución normal
Gaussiana
Curva en forma de campana
Los valores medios son los más
comunes
Violaciones de cumplimiento
provocadas por errores humanos
Los riesgos legales no suelen seguir una
distribución normal > baja frecuencia

Distribución logarítmica normal
Producto multiplicativo de muchas
variables aleatorias independientes.
Eventos de cola pesada
Impacto de las infracciones de
cumplimiento en las redes sociales >
Desvanecimiento lento
Tiempo en detectar fraude
Días para cerrar una queja de cliente

Distribución triangular
Valores mínimos, más probables y
máximos
(Mín. + Base + Máx.) / 3
Se enfatizan los extremos
Regulaciones con penas o multas
mínimas y máximas

Distribución PERT
Valores mínimos, más probables y
máximos
(Mín. + 4 * Base + Máx.) / 6
No se enfatizan los extremos
Común en la mayoría de las
herramientas de software de riesgo
Frecuentemente usado para modelar la
opinión de un experto
Riesgos de cumplimiento provocados
por demoras

Distribución binomial
Dos resultados mutuamente
excluyentes
Posibilidad de éxito al 50%
Posibilidad de falla al 50%
Control de cumplimiento efectivo o
ineficaz
Pérdida de concesiones, impuestos o
beneficios.
Aprobación de una licencia

Distribución discreta
Cada escenario tiene un impacto y
probabilidad
Árbol de decisión
Sanciones discrecionales
Sanciones en cláusulas contractuales
Disputas fiscales

Tema 3
Técnicas cuantitativas en compliance

Técnicas cuantitativas
Arboles de decisiones
Calculo de pérdidas (o ganancias)
esperadas bajo diferentes escenarios
con sus probabilidades
Permite evaluar opciones múltiples
Orientado a la toma de decisiones como
hasta cuando invertir en controles de
cumplimientos o seguros

Me han ofrecido un nuevo software para gestionar los
pedidos de acceso a información personal por 20k EUR al
año.
Estimo que puede reducir los incumplimientos por entregas
incompletas y fuera término en un 90% de los pedidos.
Actualmente, hay un 25% de probabilidades de recibir
multas por 25k EUR y 5% de probabilidades de recibir
multas altas por 100 EUR al año.

¿Nuevo
software?
Si – 20 EUR
No –0 EUR
Multa base -25K
Multa alta -100K
Multa base -25K
Multa alta -100K
No multas 0K
No multas 0K
2,5%
25%
-.63
-0,5
-6,25
-5
0
0
-11,25
-1,13-20= 21,13

Simulación de Monte Carlo
Evaluar los resultados de más de 10.000
escenarios aleatorios
Simula múltiples probabilidades sobre
valores de varias variables o hipótesis
de un plan de negocio
Utilidad para muchos riesgos de
compliance

Estas evaluando riesgos en un contrato para un
proyecto de construcción
Ya has facilitado la identificación y evaluación de los
riesgos contractuales que involucran a los gerentes de
proyecto y expertos funcionales
De acuerdo con tu política de tolerancia al riesgo, debes
establecer una reserva para cubrir las pérdidas de
cumplimiento en más del 80% de los escenarios
evaluados
¿Cuál es el valor de la reserva para este contrato?

# Riesgos contractuales / Projecto Construcción Impacto
Mejor caso
realistico
(5th percentil)
Caso base
(50th percentil)
Peor caso
realistico
(95th percentile)
1 Penalidades y disputas pueden ser causadas por
incumplimiento de los requisitos contractuales de calidad.
50,000 EUR 90,000 EUR 300,000 EUR
2 Penalidades pueden ser causadas por demoras en el
cumplimiento de los compromisos contractuales.
30,000 EUR 100,000 EUR 300,000 EUR
3 Sobrecostes pueden causarse por fraudes y colusión con
subcontratistas
0 EUR 0 EUR 250,000 EUR
4 Sobrecostes pueden causarse por suspensiones de
permisos de trabajo
0 EUR 700 EUR 100,000 EUR
5 Sobrecostes pueden causarse por demoras en la
obtención de licencias administrativas
0 EUR 35,000 EUR 60,000 EUR
6 Multas pueden darse a partir de inspecciones sobre las
leyes ambientales
500 EUR 4,000 EUR 45,000 EUR
7 Multas pueden ocurrir por incumplimiento de las leyes de
seguridad y salud en el trabajo
0 EUR 8,000 EUR 24,000 EUR

Bin Frequency % % Acum
92,700 EUR 1 0% 0%
183,130 EUR 414 4% 4%
273,560 EUR 7238 72% 77%
363,990 EUR 788 8% 84%
454,420 EUR 885 9% 93%
544,850 EUR 545 5% 99%
635,280 EUR 57 1% 99%
725,710 EUR 67 1% 100%
816,140 EUR 3 0% 100%
More 2 0% 100%
297,000 EUR Reserva

Reflexiones
Riesgos inherentes
Evaluación sin datos por ser escenarios
no plausibles ni valor para la gestión, no
hay procesos sin controles
Criterios cuali-cuantitativos
Las desventajas del criterio cuantitativo
y cualitativo y las ventajas de ninguno
Sistemas de scoring
Aunque tienen números son cualitativos
que solo generan una “ensalada de
datos” sin sustento de su ponderación

El uso de datos
siempre superará el
uso de adjetivos

Si el objetivo es
importante,
siempre tendrás
datos para
medir tus
riesgos

Encontrarás
muchos datos
históricos
Incluso pocos conjuntos de
datos serán valiosos para
reducir las incertidumbres y
decidir mejor

Con estas técnicas
encontrarás las variables
con mayor impacto en
los objetivos

La evaluación cualitativa no es
un paso hacia la evaluación
cuantitativa
La astrología no fue un paso
hacia la astronomía

Toma de decisiones con riesgos cuantificados
Estrategia Reporte Preguntas
Transferencia
(risk financing)
Seguros ¿Bajo qué condiciones debo contratar una póliza?
Outsourcing ¿Qué proceso me conviene tercerizar y a qué valor?
Contratación ¿Qué clausula me conviene renegociar?
Tratamiento Controles de
cumplimiento
¿Hasta qué valor debo invertir en la prevención por
controles de cumplimiento?
¿Hasta qué valor debo invertir en planes de
contingencia?
Terminación Go-No go ¿Este contrato me está pagando un retorno por los
riesgos contractuales que asumo?
¿Qué cliente me conviene invertir para vender un
servicio?
Tolerancia Monitoreo ¿Qué controles debo monitorear?

Fuentes de información
Internas
estadísticas de litigios, multas y reclamos, uso de la
línea de ayuda e investigaciones, quejas de clientes,
informes de auditoría, fraudes, reclamos de seguros,
incumplimientos de contratos, narrativas de
cumplimiento, informes de excepción de
cumplimiento, exenciones de pólizas, disputas con
contratos actuales, planes comerciales futuros, tareas
de cumplimiento en descripciones de trabajo,
encuestas de cultura

Externas
incumplimientos por parte de los competidores,
informes de industria o sector, noticias sobre
incumplimientos de compliance, informes del
regulador, asesoramiento externo, investigaciones
regulatorias (para empresas pares o más), reglamentos
y normas propuestas

Preguntas de un fiscal
DOJ 2020 Guidance on the Evaluation of Corporate Compliance Programs
¿Qué metodología usa para evaluar los riesgos del
programa de cumplimiento?
¿Qué información usa para evaluar esos riesgos?
¿Cómo asigna recursos en controles de cumplimiento a
los riesgos?
¿Cómo establece los valores límites para los controles
(e.g. valor para hacer un due diligence reforzado, aprobaciones)
¿Tiene un sistema para considerar las lecciones
aprendidas de incumplimiento de su empresa y
competidores?

Consejos
Los cambios en el entorno hacen que los
datos pasados sean irrelevantes
Los datos deben cubrir casos de más de
60 eventos de riesgo
Las fuentes de datos deben ser
confiables

Basura adentro,
basura afuera
Tu modelo de riesgos
cuantitativos no puede
ser mejor que la calidad
de la entrada de datos

Ningún software de
gestión de riesgos
va a compensar la
falta de talento del
compliance officer

Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a los métodos tradicionales

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a los métodos tradicionales

Similar a Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a los métodos tradicionales (20)

Más de Hernan Huwyler, MBA CPA

Más de Hernan Huwyler, MBA CPA (20)

Último

Último (20)

Cuantificación del riesgo de Compliance: Recomendaciones y alternativas a los métodos tradicionales