El regtech, el riesgo regulatorio y el compliance

La forma de gestionar el riesgo legal que enfrenta una empresa, contribuye en gran medida al éxito o fracaso de la misma. El enfoque RegTech, al fusionar la noción de “regulación” (“Reg”) con la de “tecnología” (“Tech”), ofrece alternativas que aportan no sólo efectividad o eficacia a dicha tarea, sino también eficiencia, facilitando sustantivamente la función de compliance

0
805

Por Fernando Ocampo, director de Damma Legal Advisors. Abogado de la PUCP, y magíster por The London School of Economics and Political Science (LLM) y EALDE Business School (gestión de riesgos).

Introducción

El riesgo es un concepto en movimiento, que evoluciona constante y velozmente especialmente en entornos, como el actual en nuestro país, en los que la volatilidad, incertidumbre, complejidad y ambigüedad, se convierten en la regla.

Si el riesgo está en movimiento es razonable prever que la gestión del mismo se mueva también, en un acelerado vaivén mecido por, entre otros factores, la
mano de la tecnología, la cual tiene un doble filo en dicho contexto: si bien, por un lado, ayuda a propiciar la eficiencia y eficacia en el desarrollo de la gestión de riesgos de un negocio o proyecto, por otro lado, agrega nuevos elementos de riesgo a las operaciones que deben ser observados.

La gestión de riesgos en este entorno enfrenta, entonces, el gran reto de analizar, evaluar y ponderar los costes y los beneficios -o los riesgos y las
oportunidades- derivados de las diferentes herramientas tecnológicas disponibles, a fin de elegir la adecuada y convertirla en aliada. El RegTech, como veremos a continuación, ofrece un enfoque muy útil para ayudarnos a resolver esta encrucijada, al permitir entender y definir las herramientas tecnológicas más apropiadas según las necesidades de cada empresa, para gestionar uno de los riesgos más relevantes en el entorno actual: el riesgo regulatorio.
La amenaza del riesgo regulatorio
De acuerdo con EALDE, “El riesgo legal es un tipo de riesgo empresarial muy amplio, que tiene un importante impacto en la estrategia de las compañías. Este riesgo se presenta como la probabilidad de que se produzcan pérdidas como consecuencia de que las actividades de la empresa no cumplen con la
legislación y la normativa vigente, o porque la contraparte no tiene la autoridad legal para realizar una transacción”.

EALDE entiende que el riesgo regulatorio es una subcategoría del riesgo legal, el cual “implica la imposición de sanciones por infracciones y el cambio de las leyes que pueda afectar negativamente a la empresa. Hablamos de cambios en la regulación del comercio, regulaciones fiscales, etc». Considerando dicho aporte y tomando en cuenta la definición de riesgo que propone la Norma ISO-31000 (“el efecto de la incertidumbre sobre los objetivos”), podemos definir el riesgo regulatorio, como: “el riesgo de que un cambio en las leyes y regulaciones tenga un impacto material en un valor, negocio, industria o mercado”

Éste es un concepto que, en esencia, denota la capacidad -o falta de capacidad- de una empresa para mantener permanentemente actualizado el
conocimiento y gestión de sus obligaciones normativas, sean que éstas tengan naturaleza legal, o sea, que ella fuera contractual. En simple: cumplir las leyes y normas dictadas por el Estado, por un lado, y atender los contratos y otros compromisos asumidos de manera privada, ante particulares (clientes, proveedores, trabajadores, etc.). Una derivada importante de lo anterior, es la atención de las propias políticas, lineamientos y similares de las propias empresas, las que son vinculantes a nivel de su organización interna.

La existencia del riesgo regulatorio demanda mantener permanentemente actualizada la información sobre los dispositivos legales vigentes, así como sobre los compromisos contractuales asumidos ante terceros y las políticas internas, definiendo controles que permitan a la empresa manejar sus riesgos dentro de los niveles de apetito y tolerancia previamente definidos por ella.

La gestión del riesgo aludido juega un papel muy importante especialmente en sectores altamente regulados (p.e. financiero, minero, químico, construcción, etc.), por lo que las empresas que operan en los mismos deben contar, no sólo con un sistema robusto que permita identificarlos, evaluarlos y gestionarlos de forma adecuada, sino con una visión de prevención que sea parte intrínseca de su filosofía y estructura organizacional.

Así, quizás la mayor preocupación al respecto para una empresa debería ser impregnar esta mirada preventiva a su cultura corporativa, de forma tal de; además, de contar con controles adecuados en sus procesos, lograr que la prevención sea un precepto que se viva en lo cotidiano, desde el primero hasta el último nivel jerárquico, esparcido por cada ambiente de la organización. Recordemos, con Drucker, la importancia que tiene la cultura en una empresa y lo que ésta come en el desayuno.

Mientras más cerca de la operación o actividad del negocio se ubique a la cultura, menor será la probabilidad de incurrir en eventos que se traduzcan en afectaciones o daños a la organización. Desde el enfoque de las tres líneas de defensa, el énfasis estaría dado en la primera línea, la cual “(…) es la dueña de los procesos de la empresa, cuyas actividades crean o gestionan los riesgos que pueden contribuir o evitar que se alcancen los objetivos de una organización (…)” siendo que esta instancia que “(…) asume principalmente los riesgos y los métodos necesarios para manejarlos”.

El no tomar una aproximación preventiva de la forma indicada puede terminar por causar daños irreparables, no sólo a la empresa sino a varios de sus stakeholders (accionistas, autoridades, trabajadores, ahorristas), que pudieran surgir a raíz de multas; intervenciones de la autoridad competente; embargos; responsabilidad penal; pérdida de certificaciones, franquicias o acreditaciones; retraso o afectaciones en el cumplimiento de objetivos; daño reputacional; incremento de primas de seguro; clausura temporal o permanente del negocio; pérdida de categoría crediticia; entre otras.

Así, se aprecia que el riesgo regulatorio tiene múltiples aristas, siendo capaz de atraer otros tipos de riesgo y causar graves impactos en una organización, no sólo a nivel operacional sino también estratégico.

Paréntesis:
(Abro un paréntesis.

Como abogado de empresa, me he topado -y no pocas veces- con gerentes y directores que no entienden y hasta menosprecian el valor de la prevención, percibiéndola en esencia como un concepto meramente teórico al que no amerita darle importancia estratégica. “Si no hay obligación legal de hacerlo, no lo hagamos y punto”. O peor: “Si pasa algo, ya veremos”.

Asimismo, hay otras personas que confían mucho en la suerte y en que, si antes no pasó, no pasará en el futuro (o le tocará a otro enfrentar lo que pase). “Eso nunca ha pasado en la empresa, ¿por qué habría de ocurrir ahora justo cuando soy gerente?”. Incluso hay funcionarios que considera que tratar de incorporar este precepto a la cultura de la organización podría resultar algo contraproducente o dañino para la propia empresa. “No estamos acá para gastar en esas iniciativas; mi foco está en las utilidades”. “La prevención pone freno a las operaciones, no metamos miedo ni distraigamos a la gente con ese asunto”.

Lamentablemente, muchos funcionarios, gerentes, directores y hasta empresarios, aún no entienden que el objetivo de la prevención en el ámbito empresarial es, justamente, facilitar o permitir el cumplimiento de los objetivos del negocio (utilidades incluidas), pero teniendo en cuenta no sólo los beneficios inmediatos, sino también los de mediano y largo plazo, hasta la propia permanencia o sostenibilidad de la organización en el tiempo.

Este escenario, poco a poco, está cambiando y cada vez hay más conciencia -o menos inconciencia- sobre lo importante que es la adecuada gestión del riesgo regulatorio y la prevención, en la conducción de un proyecto, iniciativa o empresa en general.

Cierro el paréntesis). 

El rol protagónico del compliance

¿Cómo debería una empresa gestionar el riesgo regulatorio? En nuestra opinión, partiendo de concebir a la función de compliance o cumplimiento normativo, con un rol central y protagónico dentro de la organización.

Sólo para nivelar información, recordemos brevemente los inicios del uso del término “compliance”, el cual se dio en el sector financiero. A raíz del destape de varios casos de corrupción en el sector referido que tuvieron graves implicancias en la década del 70 en los Estados Unidos, el gobierno promulgó la denominada “Ley Contra Prácticas Corruptas en el Extranjero” (FCPA por sus siglas en inglés) con el objetivo de prevenir y combatir el soborno y la corrupción; es decir, de gestionar el riesgo de incumplimiento normativo.

Hoy en día el compliance apunta a asegurar que las empresas en general -y las financieras, en particular-, a partir de una cultura de prevención, diseñen e implementen políticas, procedimientos y acciones, que les permitan desarrollar sus actividades y negocios de acuerdo con lo previsto en la normativa que les es aplicable, y así no sólo evitar sanciones y demás perjuicios sino alcanzar sus metas de negocio.En el desarrollo de la función de compliance las organizaciones suelen considerar distintos marcos de gestión con el fin de fortalecer el modelo, entre ellos, la Norma ISO 19600. En el caso peruano, la agencia regulatoria del sistema financiero (SBS) ha promulgado diversas normas tendientes a que ciertas organizaciones empresariales diseñen e implementen la función de compliance en diversos ámbitos (lavado de activos, financiamiento del terrorismo, corrupción, datos personales, riesgos operativos, libre competencia, protección al ahorrista, etc.).

De manera complementaria, cabe indicar que la función en cuestión suele considerarse, bajo la óptica del citado modelo de las tres líneas como una de segunda línea, tal y como lo señala The Institute of Internal Auditors: “Los roles de segunda línea pueden centrarse en objetivos específicos de la gestión de riesgo, tales como el cumplimiento de las leyes, las regulaciones y el comportamiento ético aceptable(…)” (lo resaltado es nuestro). Esto implica velar porque el cumplimiento regulatorio se dé en todos los niveles de una organización.

Regulación + tecnología

Hasta este punto hemos visto que, en el contexto empresarial, el riesgo regulatorio implica la probabilidad no sólo de no atender los objetivos planteados por una compañía en un periodo determinado, sino de sufrir daños que podrían poner en riesgo la propia sostenibilidad del negocio en el largo plazo.

La gestión del riesgo regulatorio, además de ser una tarea compleja, es también un emprendimiento que podría insumir considerables recursos, por lo que es misión fundamental para las empresas, encontrar soluciones que, a la vez de alcanzar efectivamente sus objetivos vinculados al cumplimiento normativo, permitan hacerlo de manera eficiente.

Contar con herramientas tecnológicas que faciliten la gestión adecuada de este riesgo a través de la función de compliance y que, de manera ágil y flexible, permitan integrar la noción de compliance normativo a la gobernanza de la empresa, resulta fundamental. En el sector financiero, en 2015 la agencia de regulación de conducta financiera del Reino Unido (“FCA” por sus siglas en inglés) emitió el documento llamado “Call for Input: Supporting the development and adoption of RegTech” a través del cual, reconociendo la realidad descrita, resaltó la importancia del uso de las nuevas tecnologías para ayudar a las empresas de la industria en cuestión a gestionar los requerimientos regulatorios y a reducir los costos derivados del cumplimiento legal.

El enfoque de base de dicho planteamiento fue denominado “RegTech”, reflejando el resultado de integrar los términos “regulación” y “tecnología”. Así,
“RegTech” fue definido por la FCA como un sub componente de FinTech enfocado en tecnologías que pueden facilitar el cumplimiento de los requerimientos regulatorios con mayor eficiencia y efectividad.

Entre los beneficios que el RegTech conlleva, suelen resaltarse los siguientes:

  • Eficiencia y colaboración, en la definición o elaboración, reporte y análisis de información relevante (cada vez más extensa y compleja) para la toma de decisiones, y en la atención de requerimientos regulatorios, liberando el uso de recursos de la empresa para otros fines.
    ▪ Integración y estandarización, a través del manejo -en toda la organización- de pautas y protocolos comunes para el cumplimiento normativo, promoviendo una mirada única y transversal a partir de la gestión regulatoria.
    ▪ Predictibilidad y simplicidad, contando con procedimientos automatizados o semi automatizados que permiten no sólo reducir la posibilidad de errores sino simplificar su seguimiento o monitoreo.
    ▪ Innovación, al promover la búsqueda de soluciones ad-hoc y cada vez más eficientes a partir de la evolución de desarrollos tecnológicos (p.e. blockchain, inteligencia artificial, controles biométricos, big data, etc.).

Específicamente, en cuanto a la función de compliance, el RegTech permite identificar y mantener un seguimiento de los cambios ocurridos en los requisitos regulatorios, haciendo posible realizar el monitoreo y evaluación del grado de cumplimiento en tiempo real, y del riesgo de cumplimiento en base al análisis de los datos operativos y otros.

En suma, este enfoque apunta a alcanzar una mayor eficiencia y efectividad en la gestión del riesgo regulatorio a partir del uso de las nuevas tecnologías, siendo ello una ventaja sumamente apreciada -como mencionamos- no sólo por las empresas financieras; sino, también de todas las empresas sujetas a diversos tipos de regulación normativa.

Citando lo expuesto por Javier Sebastián, experto en regulación digital de BBVA Research al respecto “(…) las soluciones ‘regtech’ ofrecen como principal beneficio para los bancos una potencial reducción significativa de costes y esfuerzos, a la vez que permiten suministrar información más precisa a los organismos supervisores”, por lo cual “Es muy probable que al final todos los bancos utilicen soluciones ‘regtech’, no sólo porque el ecosistema está creciendo muy rápido, sino también porque las grandes instituciones en este terreno también están adoptando las tecnologías que utilizan las ‘regtech’ (ver Diez claves para entender qué es el ‘regtech’ | BBVA).

Las virtudes de aplicar el enfoque RegTech son reconocidas también por los entes reguladores en el sector financiero. Además, de lo expuesto en relación con el Reino Unido y la FCA, otros Estados también entienden que el uso de la tecnología facilita su rol de fomentar la transparencia y la competencia en dicho sector. Quizás los casos más emblemáticos se den en los Estados Unidos, a través de la Financial Transparency Act (norma a través de la cual se fomenta el uso de soluciones RegTech de cara al reporting regulatorio); en Singapur, impulsada por la Monetary Authority of Singapore, aplicada al ámbito del lavado del dinero; y en Australia, reflejada en la plataforma Market Analysis and Inteligence (MAI) desarrollada por la Australian Securities and Investment Commission (ASIC) para la supervisión del mercado de valores.

El RegTech, por tanto, constituye un tema de agenda en que los intereses de las empresas -financieras en particular pero, en general, en todos los sectores- se encuentran alineadas como los intereses de los reguladores estatales. Esta confluencia de intereses se puede verificar, por ejemplo, en la actividad de reporting que las entidades reguladas deben realizar antes los entes reguladores, permitiendo que las primeras tengan acceso a toda la información necesaria, a través de plataformas de datos abiertos manejadas por los reguladores, para informar sobre su respectivo cumplimiento normativo de manera eficaz, directa y con transparencia.

Un ejemplo práctico de lo anterior, lo hallamos en la gestión de data impulsada por Inteligencia Artificial, que permite monitorear y analizar grandes volúmenes
de datos, identificar tendencias y automatizar parte de la actividad regulatoria, así como facilitar la tarea de gestionar datos vinculados a los riesgos (recopilarlos, organizarlos, sistematizarlos e, incluso, analizarlos). Otro caso estaría dado por el uso de datos abiertos e interfaz de programación de aplicaciones (API), que permitan al ente regulador competente la integración de fuentes normativas, así como el acceso a la información de la empresa financiera mediante la cual el cumplimiento de las regulaciones.

No todo lo que brilla es oro…

No obstante, la implementación de soluciones RegTech, como todo en los negocios (y en la vida), no está libre de dificultades e importantes desafíos, entre los cuales destacan:

  • Comprender el grado de preparación de cada empresa, esto es, su posición en el mercado, su estrategia, su hoja de ruta y el nivel de aceptación del uso de este tipo de herramientas no sólo por la alta dirección sino también por la propia cultura de la organización.
  • Identificar los elementos centrales la función de compliance y definir claramente la forma cómo ésta puede beneficiarse del RegTech.
  • Contar con información veraz y completa que alimente el sistema.
  • Mapear adecuadamente el marco regulatorio y los riesgos de cumplimiento enfrentados.
  • Contar con personal capacitado para implementar este enfoque.
  • La velocidad del cambio tecnológico, que puede conllevar a hundir recursos en soluciones RegTech que, en el corto o mediano plazo, puedan quedar obsoletas.
  • El manejo y almacenamiento seguro de la información, y la protección de la misma frente a ciberataques.

También merece dar r especial cuidado y atención a la calidad de la información, la programación de algoritmos, los métodos con los que funcionan los sistemas y los códigos de las instrucciones, que pueden presentar deficiencias generando que la información sea transmitida en forma errónea.

¿Cómo superar con éxito estos desafíos? Aplicando en el diseño e implementación de un proyecto RegTech en una empresa, una visión de gestión de riesgos, esto es, elaborando y ejecutando un plan de gestión de riesgos del proyecto, lo que implica (a) identificarlos; (ii)evaluarlos (probabilidad e impacto, a través de una matriz de riesgos); (iv) plantear una estrategia para su tratamiento; (v) asignar responsables y roles; y (vi) darle seguimiento a la ejecución de la estrategia.

Conclusiones

La tecnología sigue transformando aceleradamente la forma de hacer negocios, trayendo consigo muchos beneficios (transparencia, automatización, reducción de costes, etc.) pero también nuevos riesgos (vinculados, principalmente, al manejo de información), los mismos que deben ser tenidos en consideración tanto por las empresas, como por las autoridades reguladoras.

Al respecto, la aplicación de la tecnología al ámbito específico de la regulación normativa, como herramienta para gestionar el riesgo regulatorio, constituye un aspecto de especial atención para todos los actores en el mercado, en especial -pero no únicamente- para aquellos del sector financiero y demás ámbitos altamente regulados.

La función de compliance toma un claro protagonismo en la gestión del riesgo mencionado, presentándose el RegTech como una interesante opción para ello al fusionar la noción de “regulación” (“Reg”) con la de “tecnología” (“Tech”) y ofrecer mecanismos de gestión que aportan no sólo efectividad o eficacia; sino, también eficiencia a la conducción de la tarea referida.


Bibliografía:

  • “Qué es el riesgo legal y cómo afecta a las empresas”. En: https://www.ealde.es/riesgo-legal-gestion-empresarial/
  • “Aprovechar el COSO en las tres líneas de defensa”. Por The Institute of Internal Auditors® (Douglas J. Anderson y Gina Eubanks). En: laflai.org/documentos/COSO_2015-3LOD-Thought-Paper-FULL_r3_ES.pdf
  • Boletín Semanal. “SBS Informa” Noviembre 2019N° 42. Buenas prácticas para implementar el Compliance. Ver: https://www.sbs.gob.pe/boletin/detalleboletin/idbulletin/9
    0#:~:text=Las%20funciones%20de%20estas%20oficinas,pro
    bidad%3B%20y%2C%20participar%20en%20el
  • Ver: three-lines-model-updated-spanish.pdf (theiia.org)
  • En términos de Christopher Woolard, director de estrategia y competencia de la FCA, en su discurso en el “Finance Asia Annual Compliance Summit” (Hong Kong, 10 November de 2015): “We are in discussions to identify potential ways to support the adoption of technology to facilitate the delivery of regulatory requirements, known as ‘Regtech’”(https://www.fca.org.uk/news/speeches/innovati
    on-financial-services).
  • Ver: https://pubdocs.worldbank.org/en/388741560127590114/FinSAC-Fintech-7-MaciejPiechocki.pdf
  • Tomando como referencia lo expuesto por la FCA en el documento “Feedback Statemente – Call for Input on supporting the development and adopters of RegTech” (FS16/4). En: www.fca.org.uk/publication/feedback/fs-16-04.pdf.
  • RegTech y SupTech: Sus Implicaciones para la Supervisión. Informe sobre la Llamada de Consulta de la A2ii y la IAIS”, 21 de marzo de 2019 (https://a2ii.org/en/media/2587/download )
  • “RegTech (II): La regulación oportuna” por Otilia García-Rivero Gener
    (https://www.asociacioncompliance.com/regtech-ii-laregulacion-oportuna/)
  • Tomado de “RegTech y SupTech: Sus Implicaciones para la Supervisión. Informe sobre la Llamada de Consulta de la A2ii y la IAIS”, 21 de marzo de 2019 (https://a2ii.org/en/media/2587/download)
  • Tomado de EALDE: https://www.ealde.es/gestion-deriesgos-que-es/