La verificación de la mitigación es una de las mejores formas de comprobar que nuestro modelo de cumplimiento funciona correctamente.
El modelado de riesgos se basa habitualmente en una estructura de tres niveles, donde:
Y así muchos podríais estar de acuerdo con este modelo, si además lo unimos a una política de actualización de estos tres elementos de al menos una vez al año.
Según mi punto de vista personal, tiene al menos tres críticas relevantes:
Ante estas tres carencias, nuestra propuesta consiste en:
Muchos podéis pensar que si ya lo tenemos complicado para llevar a cabo las tareas actuales, si ahora además, tenemos que hacer frente a más de una actualización al año, la realización de los informes para la dirección, los informes para terceros,… ¿cómo vamos a hacer ahora más tareas y con más frecuencia sin aumentar el equipo de cumplimiento?
Nuestra propuesta es para facilitar y automatizar aquellas tareas repetitivas y de poco valor añadido, proporcionándoos tiempo extra para las tareas más delicadas.
Consiste en dos puntos básicos:
1- Mejorando el control, añadiendo un cuarto nivel, al modelo inicial de tres pisos, para la medición de la eficacia de las medidas, que hemos denominado “Indicadores de eficacia de las medidas”.2- Automatizando y/o eliminando tareas repetitivas
¡No todo va a ser complicaros la vida!. Proponemos un sistema que os asista en la formulación del cálculo de la eficacia de las medidas para obtener la eficacia individual y colectiva a nivel de cada control.
Este cálculo requiere la recogida de datos y evidencias directamente desde las fuentes y su valoración objetiva. Además, y en función del peso de cada control, se obtendrá la estimación del valor corrector (eficacia) para así poder calcular el nuevo valor de riesgo_residual_corregido.
3-Aumentando el riesgo si no hay control. En el caso de que haya riesgos para los que no se implante la comprobación en sus controles la verificación de la eficacia de las medidas, se propone corregir la mitigación con un valor de eficacia del 50%, para rebajar la mitigación a la mitad.
Conclusiones
Entiendo que este enfoque es mucho más conservador que el tradicional, discutible e incluso criticable, y que puede y debe ser mejorado, pero mi intención es intentar mejorar la calidad de la función de control del cumplimiento y objetivarla lo más posible. Estoy abierto a recibir aquellas críticas y comentarios que sumen en esa dirección.