El riesgo regulatorio es la posibilidad de que se produzcan infracciones de leyes, reglamentos, términos contractuales, las normas o las políticas internas aplicables, tengan un impacto financiero o no financiero negativo en la organización. Ante ello, la gestión de riesgos tiene por propósito la creación y la protección del valor generado por su organización ante dichos riesgos.

Además, se deben establecer ciertos criterios o principios generales, que en Panamá apuntan, a groso modo, a un compromiso efectivo de la Junta Directiva; el manejo adecuado de cada nivel de riesgo y la gradualidad del nivel de debida diligencia respectivo; la trazabilidad a través de un seguimiento permanente; la toma de decisiones basada en datos, es decir, en evidencia concreta; la mejora continua mediante una autoevaluación y mejora de los modelos, que va de la mano de la evaluación permanente de los riesgos y el contexto; demostrar congruencia con la evaluación nacional de riesgos, establecer un enfoque de procesos integrado con información completa, veraz y tratada estadísticamente; con documentación adecuada que permita demostrar la eficacia del modelo y la comprensión de los motivos de una mayor o menor asignación de un nivel de riesgo, factor o indicador de riesgo.

El modelo panameño está dividido en cuatro etapas: diseño, implementación, evaluación y retroalimentación. En primer lugar, el diseño se divide en: política de cumplimiento, suficiencia de recursos, entrenamiento adecuado, evaluación permanente y documentación adecuada. En segundo lugar, la implementación está dividida en: proceso e indicadores de riesgo. En tercer lugar, la evaluación está dividida en: calibración de las herramientas y validación periódica. Finalmente, la retroalimentación apunta una mejora permanente. Lo anterior nos permite abordar el contexto mediante el proceso ya mencionado, en el cual identificamos, analizamos y evaluamos el riesgo inherente (riesgo en estado no controlado) y establecemos como tratar el riesgo residual, vale decir, el riesgo que queda luego de aplicar los controles respectivos. Todo lo anterior nos permite la generación de indicadores y la comunicación de dichos riesgos.

Cabe entender que este enfoque establece un nivel mínimo aceptable para el regulador y también entendiendo que el enfoque basado en riesgos y la gestión de riesgos propiamente tal, no está limitada al cumplimiento regulatorio, sino a todas las funciones de la organización.