Por: CP Alexander Camargo M. CEO de C&G Auditores y Consultores Ltda. Colaborador de Auditool
La puesta en marcha del SAGRILAFT requiere del cumplimiento efectivo de la Política LA/FT/FPADM y los procedimientos de diseño, aprobación, seguimiento, divulgación y capacitación incluidos en los términos descritos más adelante, y debe traducirse en una regla de conducta que orienta la actuación de la Empresa.
La aprobación del SAGRILAFT es una responsabilidad de la Junta Directiva de la Empresa. El proyecto de SAGRILAFT debe ser presentado conjuntamente por el Representante Legal y el Oficial de Cumplimiento.
Los elementos del sistema, su diseño y aprobación están reglamentados en el numeral 5.1.1 del Capítulo X de la Circular Básica Jurídica de la Superintendencia de Sociedades, el cual se lee:
“El diseño del SAGRILAFT estará a cargo de la Empresa Obligada, para lo cual deberá tener en cuenta la materialidad, las características propias de la Empresa y su actividad, así como la identificación de los Factores de Riesgo LA/FT/FPADM (Matriz de Riesgo LA/FT/FPADM u otro mecanismo de evaluación, individualización, identificación y segmentación del Riesgo LA/FT/FPADM)».
El representante legal y la junta directiva, o el máximo órgano social cuando aquella no existe, deberán disponer de las medidas operativas, económicas, físicas, tecnológicas y de recursos que sean necesarias para que el Oficial de Cumplimiento pueda desarrollar sus labores de manera adecuada.”
Es decir que el Sistema no es el mismo para cada empresa, en su diseño se deben considerar las características propias de la empresa y su actividad. Uno de los marcos de referencia más utilizados para la gestión de los riesgos de cualquier empresa o industria es la IS0 31000, metodología que es adaptable a cualquier organización y contexto.
Los principios de una gestión de riesgo eficaz requieren entre otras cosas que el marco de referencia y el proceso de gestión del riesgo se adapten y sean proporcionales a los contextos externos e internos de la empresa. Este principio denominado “adaptada”, entre otros, deberá habilitar a la empresa para gestionar los efectos de la incertidumbre sobre sus objetivos.
La ISO 31000 en el numeral 5.4 Diseño, indica en los deberes para su cumplimiento, en cuanto a:
- Compresión de la organización y su contexto
- Articulación del compromiso con la gestión del riesgo
- Asignación de roles, autoridades, responsabilidades y obligación a rendir cuentas en la organización
- Asignación de recursos
- Establecimiento de la comunicación y consulta
Aunque el SAGRILAFT, no refiera específicamente de un análisis y comprensión de los contextos externos e internos de la empresa para el diseño del sistema, indica que se debe tener en cuenta “la materialidad, las características propias de la Empresa y su actividad”.
La ISO trae listas de los asuntos que pueden incluir estos análisis:
Contexto externo:
- Los factores sociales, culturales, políticos, legales, reglamentarios, financieros, tecnológicos, económicos y ambientales
- Los impulsores clave y la tendencia que afecten los objetivos de la organización
- Las relaciones, percepciones, valores, necesidades y expectativas de las partes interesadas externa
- Las relaciones contractuales y los compromisos
- La complejidad de las redes y dependencias
Contexto interno:
- La visión, misión y valores
- La gobernanza, estructura de la organización, los roles y la rendición de cuentas
- La estrategia, los objetivos y las políticas
- La cultura de la organización
- Las normas, directrices y modelos adoptados por la organización
- Las capacidades, entendidas en términos de recursos y conocimiento
- Los datos, los sistemas de información y los flujos de esta
- Las relaciones con partes interesadas, teniendo en cuenta sus percepciones y valores
- Las relaciones contractuales y los compromisos
- Las interdependencias e interconexiones
Ahora bien, los contextos internos y externos son importantes porque constituyen el entorno en el cual opera la empresa, es decir:
- La gestión del riesgo LA/FT/FPADM tiene lugar en el contexto de los objetivos y las actividades de la empresa
- Los factores organizacionales puedes ser una fuente de riesgo
- El propósito y el alcance del proceso de la gestión del riesgo puede estar interrelacionado con los objetivos de la organización
Algunas de las técnicas que se pueden utilizar para desarrollar este análisis son:
- Análisis PESTAL, cuyo término proviene de las siglas: Político, Económico, Social, Tecnológico, Ambiental y Legal, con dicho análisis se identifican factores del entorno general que afectan o podrían afectar a la compañía
- Análisis DOFA, cuyo término proviene de las siglas: Debilidades, Oportunidades, Fortalezas y Amenazas
Finalmente, no olvidemos que el proceso de gestión de riesgo no es una actividad secuencial, y que en la práctica es iterativo, por lo que debemos estar atentos a los cambios en los contextos internos y externos, para agregar valor al SAGRILAFT de las empresas.
CP Alexander Camargo M
Contador Público, CFCS “Especialista Certificado en Delitos Financieros”, Especialista en Control Interno de la Universidad Militar Nueva Granada, con Maestría en Gestión Integral del Riesgo de la Universidad Externado de Colombia (Pendiente Tesis). Con más de 25 años de experiencia en procesos de aseguramiento y consulta en empresas de diferentes sectores de la economía, adquirida en firmas internacionales de auditoría, KPMG y CROWE. Actualmente CEO de C&G Auditores y Consultores Ltda.