Coso ERM define que ‘‘la gestión del riesgo empresarial es un proceso efectuado por la junta
directiva de la entidad, gerencia y otro personal, aplicado en el establecimiento de estrategias en
toda la empresa, diseñado para identificar eventos potenciales que pueden afectar a la entidad, y
gestionar que el riesgo de se encuentre acorde con su apetito al riesgo, para proporcionar una
seguridad razonable en cuanto a la consecución de los objetivos de la entidad’’.
La anterior definición también se puede adaptar para el caso LA/FT y quedaría así: la gestión del
riesgo empresarial es un proceso efectuado por la junta directiva de la entidad, el oficial de
cumplimiento, la gerencia y otro personal, aplicado en el establecimiento de estrategias en toda la
empresa, diseñado para identificar eventos potenciales LA/FT que puedan tener un impacto legal,
reputacional, operativo y contagio en la entidad, y gestionar que el riesgo LA/FT se encuentre
acorde con su apetito al riesgo, para proporcionar un cumplimiento en cuanto a la consecución de
los objetivos de evitar y detectar situaciones de riesgo LA/FT.
Al remontarse al concepto de proceso se quiere decir que el ERM tiene que ser dinámico y a su vez
flexible. Con respecto a la flexibilidad ERM espera que los procesos no se basen en un conjunto de
reglas estrictas que descarten de antemano la toma de decisiones que impliquen algún tipo de
riesgo, en lugar de esto se debe traducir en una serie de pasos para
evaluar y revisar los riesgos potenciales de tomar esa decisión.
Por su parte la gestión del riesgo LA/FT está enmarcado en varias etapas que son identificación,
medición o evaluación, control y monitoreo (Ver numeral 4.1 del Sarlaft). Dichas etapas, con otro
nombre, constituyen parte del ‘Proceso para la gestión del riesgo’ (ver capítulo 5 de la NTC-ISO
31000), el cual esta compuesto por las etapas de: comunicación y consulta, establecimiento del
contexto, valoración del riesgo, tratamiento del riesgo y monitoreo, y revisión.
Dicho proceso debe ser implementado o “aterrizado” por personas al interior de la organización y
no limitarse a una serie de políticas y directrices impuestas por órganos e instancias superiores
que en la práctica no se adaptan a la toma de decisiones que enfrenta la empresa.
Es este punto Robert Moeller indica que las entidades deben adoptar el ERM para establecer las
estrategias alternativas dependiendo de las acciones futuras que tienen pensado realizar. Dichas
acciones pueden ser una mezcla de actividades de alto y bajo riesgo.
Moeller define apetito de riesgo como ‘‘(…) la cantidad de riesgo, a un nivel general, que una
empresa y sus gerentes están dispuestos a aceptar para obtener valor’’. Posteriormente el autor
indica que cada gerente o persona relevante y la organización como tal deben tener un
determinado nivel de apetito al riesgo. Dicho apetito se puede medir de una forma cualitativa que
puede ser baja, media y alta.
Sin embargo, al menos formalmente, para el caso del riesgo LA/FT no existe un apetito de riesgo,
pues ninguna entidad está dispuesta a aceptar de forma voluntaria y totalmente informada que la
utilicen para lavar o financiar el terrorismo. Este apetito e riesgo es diferente al apetito al riesgo
del negocio del cual se hace referencia en el anterior párrafo.
El cumplimiento de objetivos
Según Moeller, la aplicación del ERM dentro de la organización –sin importar que tan bien esté
planeado e implementado- no es garantía del cumplimiento de los objetivos de la organización,
pues las organizaciones están expuestas a eventos fortuitos que impiden el cumplimento del 100%
de sus objetivos. Tener esto en cuenta es útil para fijar las expectativas del ERM dentro la
organización.
Toda organización debe cumplir unos objetivos, como por ejemplo mantener una reputación
positiva, proveer información financiera confiable y cumplir con las regulaciones. Según el autor la
aplicación de Coso ERM debe ayudar a cumplir con los objetivos de la organización.
Actualmente en Colombia existen varias normas de prevención LA/FT vigentes. El siguiente cuadro
muestra los objetivos para tres de las normas:
Circular Externa 170 de 2002 Dirección de Impuestos y Aduanas Nacionales (Dian) El Sipla que
implementen las empresas destinatarias de la Circular debe contener medidas de control
apropiadas y suficientes orientadas a evitar que la realización de cualquier operación cambiaria o
de comercio exterior sea utilizada como instrumento para el ocultamiento, manejo, inversión o
aprovechamiento, en cualquier forma, de dinero u otros bienes provenientes de actividades
delictivas, para darle apariencia de legalidad a las transacciones y fondos vinculados con las
mismas.
El marco de Coso ERM puede ser representado a partir de un cubo tridimensional con los
siguientes componentes, los cuales son explicados por Moeller y complementados por infolaft así:
Cuatro columnas verticales que representan los objetivos estratégicos del riesgo empresarial los
cuales se puede asociar de la siguiente forma con la gestión del riesgo laft.
Información La normatividad solicita una información mínima para poder desarrollar las
actividades de gestión de riesgo LA/FT.
Componentes a nivel de entidad y unidad Equivalente con la gestión del riesgo LA/FT
Unidad de Negocio
Filial
Según Moeller, sumado a la necesidad de nombrar o designar una persona encargada de velar por
la administración del riesgo de la organización, CRO o director de riesgos, es necesario que el ERM
sea administrado y comunicado a un grupo representativo de personas al interior de la
organización. Adicionalmente, bajo el liderazgo del CRO se deben desarrollar políticas y estándares
de riesgo que sean seguidas por las áreas de la organización.
De acuerdo con el autor, para implementar una cultura de riesgo al interior de la organización es
necesario cumplir los siguientes pasos:
Construir una cultura de conciencia del riesgo: la compañía puede comunicar y circular
documentos, para crear conciencia de los riesgos, que vayan dirigidos tanto a ciertas funciones o
riesgos externos. El objetivo es hacer que la exposición al riesgo de la empresa puede ser limitado
a través de concientización y participan de los empleados en el programa de administración de
riesgos. Para el caso de la prevención del riesgo LA/FT, la normatividad solicita a las entidades que
realicen actividades de capacitación con determinadas condiciones.
Creando la organización que administra riesgo: además del CRO es necesario contar con un grupo
de personas que brinden apoyo a labor realiza por esta persona. Idealmente este debe estar
conformado por profesionales que entiendan los riesgos que impactan la organización en
determinada área y su técnicas para mitigarlo. En este caso la normatividad colombiana en
materia LA/FT designa a un responsable para la administración de los sistemas de administración
de riesgo laft o de los sistemas integrales, y también asigna funciones a otras personas
relacionadas con la entidad.
Políticas y estándares del ERM: se deben implementar y comunicar políticas y estándares en toda
la organización. Dichos controles deben ser comunicados a todos los niveles de la organización y
que las transacciones que realiza la empresa traen consigo riesgos asociados, y que por política la
realización de esas transacciones no deben superar la tolerancia el riesgo de la empresa. Para el
caso del riesgo LA/FT algunas normatividades en la materia proponen el uso de un manual de
procedimientos el cual debe contener las políticas y estándares.
Conclusiones
Al realizar la comparación entre el sistema Coso ERM y algunos aspectos de la normatividad LA/FT
es posible indicar que ambos no son incompatibles y por ello las organizaciones pueden
administrar el riesgo LA/FT empleando Coso ERM.
A partir del trabajo conjunto entre la gestión del riesgo LA/FT y Coso ERM se pueden derivar varios
tipos de sinergias. Infolaft propone a continuación algunas:
Aplicación de las metodologías de Coso ERM en las etapas de gestión del riesgo LA/FT.
En caso de que la organización esté empleando un software para la administración del riesgo
enfocado a Coso ERM, existe la posibilidad de que este también se pueda emplear para el riesgo
LA/FT.