Riesgos de Compliance

Por Olga Martínez. Abogada, Responsable del Área de Compliance Legal de Applicalia

El Riesgo de Compliance es definido en la norma ISO 19600 (apartado 3.1.8) como el efecto de la incertidumbre en los objetivos de Compliance. El riesgo de Compliance, prosigue, puede ser caracterizado por la PROBABILIDAD de que ocurran estos riesgos y las consecuencias de los incumplimientos respecto a las obligaciones de Compliance de una organización, es decir el IMPACTO. Por tanto, volvemos a la fórmula tan conocida por todos en la que el RIESGO= IMPACTO x PROBABILIDAD. Ahora bien, la norma dice que “puede ser caracterizado”, por lo tanto, deja la puerta abierta a otras formas de caracterizar o calcular el riesgo.

En términos coloquiales, para centrarnos, el riesgo es la incertidumbre en la consecución de los resultados que una organización quiere lograr. Las organizaciones se imponen objetivos (resultados a lograr) y existe inseguridad o duda de que puedan alcanzarse estos objetivos. Esto hace que las organizaciones deban gestionar sus riesgos correctamente, en este caso sus riesgos de Compliance. Entre los objetivos de Compliance, es evidente que está el cumplimiento de las obligaciones de Compliance, determinadas por los requisitos de Compliance (es decir todo aquello que es obligatorio para la organización, -leyes, licencias, sentencias de juzgados y tribunales, planes de prevención de delitos, etc.-) y los compromisos de Compliance (es decir, todo aquello que no es obligatorio, pero si conveniente, -pensemos en la implantación de estándares ISO, compromisos ambientales, etc.-). Deberemos gestionar, por tanto, los riesgos derivados de los potenciales incumplimientos de Compliance.

Un aspecto muy importante, es que el enfoque basado en el riesgo de Compliance no significa que, para situaciones de riesgo bajo de incumplimiento, - pensemos por ejemplo en los riesgos penales, y en el delito de tráfico ilegal de órganos (156 bis Código Penal)- la organización pueda optar por asumir el riesgo y no gestionarlo. En Compliance no podemos hablar de apetito del riesgo cuando esto implique aceptar incumplimientos. En materia legal, y especialmente en materia de riesgo penal, no existe apetito del riesgo. Incido en este concepto porque he asistido a alguna jornada en la que se ha afirmado esto y no es así. Cuando hay normas, leyes regulaciones de obligado cumplimiento el enfoque basado en el riesgo no nos va a permitir aceptar incumplimientos, sino que nos va a servir de ayuda para centrar la atención primaria, - “poner el foco”-, es lo más prioritario, e ir tratando los riesgos en función de su criticidad, hasta que todos hayan sido tratados.

En cuanto al proceso de gestión del riesgo tal y como establece la cláusula 5.1 de la norma ISO 31000 el proceso de gestión del riesgo debe:

  • Ser una parte integrante de la gestión;
  • Integrarse en la cultura y en las prácticas
  • Adaptarse a los procesos de negocio

La presente figura muestra muy bien el proceso de Gestión del Riesgo. En el presente post, analizaremos los aspectos relativos a la comunicación y consulta y establecimiento del contexto, pasando a analizar los demás aspectos en post posteriores. 

Cuadro riesgo

Fuente: ISO 31000:2009. Proceso de Gestión del Riesgo

    1.- Comunicación y consulta

El proceso global de Análisis de Riesgos debe basarse en un enfoque consultivo, de manera que la comunicación y la consulta debe hacerse en todas las etapas del proceso de gestión del riesgo. La idea central es que un Análisis de riesgo de “laboratorio”, realizado por los responsables de la implementación del proceso de gestión del riesgo, sin tener en cuenta aspectos tales como los intereses de las partes interesadas, el contexto de la organización o las diferentes áreas de negocio, no será un Análisis de Riesgos efectivo puesto que no se han tenido en cuenta la realidad de la organización.

Por tanto, la fase inicial de todo proceso de gestión del riesgo pasará por diseñar un plan de comunicación y consulta (externa e interna) para:

  • Establecer el contexto.
  • Asegurar que los intereses de las partes interesadas se comprenden.
  • Ayudar a asegurar que los riesgos se identifican de manera adecuada.
  • Reuni