Mapas de riesgos de Compliance. ¿Cómo gestionarlos?
Desde la perspectiva de la función de Compliance, se deben identificar las situaciones o los procesos en los que pueden producirse incumplimientos de obligaciones legales, regulatorias o una vulneración de los compromisos adquiridos por la organización.
Con el objetivo de realizar esta identificación de situaciones de riesgo para la organización, se debe evaluar el nivel de riesgo en cada proceso, se deben proponer medidas idóneas para mitigar dicho riesgo, así como establecer controles para detectar y prevenir la materialización del riesgo. Un elemento muy importante que se debe tener en cuenta, es la correcta canalización de toda la información detectada en este análisis a los Órganos de Gobierno y a los Órganos de Control Interno de la empresa; como por ejemplo comisiones de auditoria o comités de riesgos.
Antes de entrar más en detalle de cómo se puede definir un mapa de riesgos de compliance y su importancia, debemos definir qué es el riesgo de Compliance. En el año 2005, El Comité de Supervisión Bancaria de Basilea definió el riesgo de Compliance como “el riesgo de que una organización pueda sufrir sanciones, multas, pérdidas financieras o pérdida de su reputación como resultado de incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de conducta que se apliquen a su actividad.”.
Una vez entendido que es el riesgo de compliance, desarrollamos las fases para gestionar el riesgo:
- Establecimiento del contexto: Se deben analizar todos los factores externos e internos que puedan tener impacto en la organización. A modo de ejemplo, se deben tener en cuenta aspectos como la estructura societaria y la propiedad, número de empleados, actividades de la organización o la normativa de aplicación.
- Identificación de los riesgos: Debemos elaborar un listado con los posibles riesgos/situaciones/acontecimientos que podrían darse en la entidad. Todas las entidades no tendrán los mismos riesgos de Compliance, ya que cada organización, en función de la actividad que desempeñe, su tamaño y otros factores tendrá riesgos diferentes. Es importante identificar los riesgos concretos aplicables, para poder evaluarlos correctamente. Para poder identificar estos riesgos podríamos hacernos preguntas como por ejemplo, ¿se tratan datos de carácter personal?, ¿se realizan o se reciben habitualmente pagos en metálico? o ¿existen socios de negocio con alto poder de representación en nombre de la entidad?
- Análisis de riesgos: Aunque existen diferentes modalidades para hacer un análisis de riesgos, una buena alternativa consiste en analizar la probabilidad y el impacto de cada uno de los riesgos. Dentro de la probabilidad podemos analizar diferentes tipos de probabilidades, como por ejemplo la probabilidad de ocurrencia y la probabilidad en función de los controles existentes. En cuanto a los impactos, podríamos analizar, al igual que en el caso de la probabilidad, diferentes impactos, como puede ser el impacto de imagen, el impacto reputacional, el impacto en caso de ser sancionados, etc.
El resultado de las dos fases anteriores es esencial que quede documentado.
- Evaluación de los riesgos: La finalidad de la evaluación de riesgos es ayudar a la toma de decisiones, determinando los riesgos a tratar y la prioridad para implementar el tratamiento. Debemos de tener definido cuál es nuestro nivel de riesgo aceptable para que a partir de este nivel, decidamos los riesgos que necesariamente deben ser tratados. De esta manera, la organización podrá centrarse en la asignación de recursos para aquellos riesgos evaluados como “nivel alto”.
- Tratamiento de los riesgos: En esta fase se adoptarán decisiones sobre cómo abordar los riesgos identificados, algunas de las decisiones podrían ser; evitar el riesgo, reducir o mitigar el riesgo estableciendo controles para reducir la probabilidad o el impacto, compartir el riesgo transfiriéndolo a terceros o bien aceptar el riesgo. Para todas las opciones, habrá que contar con la aprobación del órgano de gobierno y habrá que establecer mecanismos para monitorizar su evolución.
- Seguimiento y revisión. Esta etapa debe tener como objetivo mínimo asegurar que todos los controles son eficaces o bien detectar cualquier cambio en el contexto de la organización que pueda suponer un nuevo riesgo no identificado, a lo largo del tiempo.
Durante todas las fases, como ya comentábamos anteriormente, se debe tener presente la importancia de la comunicación de todos los aspectos relevantes a los correspondientes órganos de gobierno de la entidad y partes interesadas, tanto internas como externas.
Por lo tanto, para definir nuestro mapa de riesgos de Compliance necesitaremos seguir los siguientes pasos: identificar los riesgos, analizarlos, evaluarlos, tratarlos, monitorizarlos y reportar todo ello a los órganos correspondientes.
GlobalSuite Solutions
Con la herramienta GlobalSuite® podremos abordar todos ellos, pudiendo definir una metodología de riesgos personalizada y adaptada a la entidad, obteniendo un mapa de riesgos gráfico en diferentes formatos y ofreciéndonos la posibilidad de establecer un plan de tratamiento en el que se podrán definir los riesgos a tratar, con sus acciones, plazos y responsables de su seguimiento.