Gestión de riesgos compliance: identifica los riesgos de tu organización

En las empresas es imprescindible llevar una correcta gestión de riesgos compliance, ya que es la manera de determinar a qué riesgos por incumplimiento se enfrenta una organización y cuál puede ser su impacto. ¿Cómo aplicar las medidas y controles necesarios para mitigar sus consecuencias? El primer paso es identificarlos.

Qué son los riesgos compliance (riesgos de cumplimiento)

Los riesgos compliance son las consecuencias negativas a las que puede enfrentarse cualquier organización en caso de incumplir sus obligaciones legales, normativas, regulatorias o contractuales.

Esas consecuencias pueden producirse en forma de multas, sanciones, pérdidas económicas, pérdida de oportunidades, daños reputacionales, pérdida de talento, pérdida de valor de la marca, etc.

Los riesgos de compliance pueden afectar a todas las organizaciones, independientemente del sector en el que operen, aunque son mayores en industrias en las que existe una regulación más estricta, ya que tienen una mayor exposición.

Los riesgos compliance pueden afectar a cualquier empresa si incumplen sus obligaciones.

Los riesgos de cumplimiento se establecieron en el apartado 3.1.8 de la norma ISO 19600 y fueron actualizados en 2021 con la norma ISO 37301, que sustituye a la primera. En ella se recogen los requisitos y directrices necesarios para establecer, implementar, evaluar, mantener y mejorar un sistema de gestión de riesgos compliance (SGC) de manera continua.

Es de aplicación en todas las organizaciones, sea cual sea su tamaño, naturaleza o complejidad. Y se basa en los principios de integridad, buena gobernanza, proporcionalidad, transparencia, rendición de cuentas y sostenibilidad.

Mapa de riesgos compliance: ¿cómo se crea?

El mapa de riesgos compliance o matriz de riesgos compliance es la metodología y herramienta que sirve a una organización para identificar y definir los riesgos compliance a los que se expone.

Compliance es un esquema de organización, regulación interna y externa, gestión y supervisión, encaminado al cumplimiento de ciertas normas sin necesidad de que la organización tenga que ser auditada por terceros.

Su objetivo es detectar, prevenir, reportar y resolver conflictos, que pueden derivarse de la actividad financiera, incumplimiento de leyes, negligencias o malas conductas, entre otros factores.

Una matriz de riesgos compliance es una herramienta fundamental para diseñar las medidas necesarias en cada caso.

Por tanto, se trata de una herramienta fundamental, ya que permite diseñar las medidas y controles adecuados para detectar riesgos y gestionarlos en caso de que se produzcan, con el fin de minimizarlos o incluso eliminarlos. ¿Cómo se hace paso a paso?

1. Identificar los riesgos de cumplimiento. ¿A qué riesgos se expone tu empresa? Todo tiene un contexto: actividad, número de empleados, infraestructura, zona geográfica, organización interna, normativa (estatal, autonómica, local, del sector, etc.). Habrá que elaborar una lista exhaustiva de posibles riesgos con la ayuda de los diferentes departamentos.
2. Asignar responsables. En cada área, habrá que designar a los responsables de detectar riesgos y supervisar la implementación de controles y medidas que se incluirán en el programa de compliance.
3. Analizar los riesgos. Es necesario determinar la probabilidad de que los riesgos detectados puedan producirse. Siempre que sea posible, tendremos que emplear valores cuantificables.
4. Determinar el impacto. ¿Qué ocurriría si se materializa alguno de los riesgos? Se tendrá que determinar el nivel de impacto en función de la gravedad. Se puede calcular el riesgo multiplicando la probabilidad por el impacto.
5. Definir el grado de tolerancia al riesgo. A esto se le conoce como ‘apetito de riesgo’ y se refiere al nivel de riesgo que está dispuesto a asumir una organización: cuáles se podrían asumir y para cuáles es necesario un plan de acción con una mayor dedicación de recursos.

Ejemplos de riesgos compliance y cómo tratarlos

Veamos, para entender mejor la gestión de riesgos de compliance, un ejemplo de cómo se elaboraría el mapa de riesgos, en el que la probabilidad de incumplimiento suele situarse en el eje vertical y el impacto de dicho incumplimiento, en el eje horizontal:

En este ejemplo, podemos hablar de una pequeña empresa que ofrece un servicio online y que se expone a riesgos relacionados con la ciberseguridad. Consideraríamos los siguientes riesgos:

• R1: Ser víctima de un ciberataque.
• R2: Filtración de datos.
• R3: Pérdida de información.
• R4: Interrupción de la actividad de la empresa.

En la tabla se puede ver cómo afectaría a la organización si la compañía no tiene un departamento tecnológico ni de seguridad de la información, aunque sí con personal formado en protección de datos y que ha adoptado medidas para proteger la confidencialidad de la información con la que trabaja.

Lo importante es el análisis que realiza la empresa de sus riesgos compliance y las medidas que adoptaría en dicha situación.

Lo verdaderamente importante sería el análisis que realiza la empresa en base a su mapa de riesgos y las medidas y controles que deberá tomar en su programa de compliance para minimizar sus riesgos y sus efectos.

Por si te lo perdiste:

Compartir este artículo