Riesgos de Compliance

Compliance Penal

El Riesgo de Compliance es definido en la norma ISO 19600 (apartado 3.1.8) como el efecto de la incertidumbre en los objetivos de Compliance. El riesgo de Compliance, prosigue, puede ser caracterizado por la PROBABILIDAD de que ocurran estos riesgos y las consecuencias de los incumplimientos respecto a las obligaciones de Compliance de una organización, es decir el IMPACTO. Por tanto, volvemos a la fórmula tan conocida por todos en la que el RIESGO= IMPACTO x PROBABILIDAD. Ahora bien, la norma dice que “puede ser caracterizado”, por lo tanto, deja la puerta abierta a otras formas de caracterizar o calcular el riesgo.

En términos coloquiales, para centrarnos, el riesgo es la incertidumbre en la consecución de los resultados que una organización quiere lograr. Las organizaciones se imponen objetivos (resultados a lograr) y existe inseguridad o duda de que puedan alcanzarse estos objetivos. Esto hace que las organizaciones deban gestionar sus riesgos correctamente, en este caso sus riesgos de Compliance. Entre los objetivos de Compliance, es evidente que está el cumplimiento de las obligaciones de Compliance, determinadas por los requisitos de Compliance (es decir todo aquello que es obligatorio para la organización, -leyes, licencias, sentencias de juzgados y tribunales, planes de prevención de delitos, etc.-) y los compromisos de Compliance (es decir, todo aquello que no es obligatorio, pero si conveniente, -pensemos en la implantación de estándares ISO, compromisos ambientales, etc.-). Deberemos gestionar, por tanto, los riesgos derivados de los potenciales incumplimientos de Compliance.

Un aspecto muy importante, es que el enfoque basado en el riesgo de Compliance no significa que, para situaciones de riesgo bajo de incumplimiento, - pensemos por ejemplo en los riesgos penales, y en el delito de tráfico ilegal de órganos (156 bis Código Penal)- la organización pueda optar por asumir el riesgo y no gestionarlo. En Compliance no podemos hablar de apetito del riesgo cuando esto implique aceptar incumplimientos. En materia legal, y especialmente en materia de riesgo penal, no existe apetito del riesgo. Incido en este concepto porque he asistido a alguna jornada en la que se ha afirmado esto y no es así. Cuando hay normas, leyes regulaciones de obligado cumplimiento el enfoque basado en el riesgo no nos va a permitir aceptar incumplimientos, sino que nos va a servir de ayuda para centrar la atención primaria, - “poner el foco”-, es lo más prioritario, e ir tratando los riesgos en función de su criticidad, hasta que todos hayan sido tratados.

En cuanto al proceso de gestión del riesgo tal y como establece la cláusula 5.1 de la norma ISO 31000 el proceso de gestión del riesgo debe:

  • Ser una parte integrante de la gestión
  • Integrarse en la cultura y en las prácticas
  • Adaptarse a los procesos de negocio

La presente figura muestra muy bien el proceso de Gestión del Riesgo. En el presente post, analizaremos los aspectos relativos a la comunicación y consulta y establecimiento del contexto, pasando a analizar los demás aspectos en post posteriores.

1.- Comunicación y consulta
El proceso global de Análisis de Riesgos debe basarse en un enfoque consultivo, de manera que la comunicación y la consulta debe hacerse en todas las etapas del proceso de gestión del riesgo. La idea central es que un Análisis de riesgo de “laboratorio”, realizado por los responsables de la implementación del proceso de gestión del riesgo, sin tener en cuenta aspectos tales como los intereses de las partes interesadas, el contexto de la organización o las diferentes áreas de negocio, no será un Análisis de Riesgos efectivo puesto que no se han tenido en cuenta la realidad de la organización.

Por tanto, la fase inicial de todo proceso de gestión del riesgo pasará por diseñar un plan de comunicación y consulta (externa e interna) para:

  • Establecer el contexto.
  • Asegurar que los intereses de las partes interesadas se comprenden.
  • Ayudar a asegurar que los riesgos se identifican de manera adecuada.
  • Reunir diferentes áreas de experiencia para analizar el riesgo.
  • Asegurar que se tienen en cuenta las diferentes opiniones, al definir los criterios de riesgo y de evaluación del riesgo.
  • Conseguir la aprobación y el apoyo para un plan de tratamiento de riesgos.
  • Si implicamos a las partes interesadas desde el principio será más fácil la aprobación y el apoyo en el plan de tratamiento de riesgos.
  • Favorecer la gestión del cambio adecuada durante el proceso de gestión del riesgo.
  • Si la comunicación y consulta se produce durante todo el proceso de gestión del riesgo y no solo al principio, se favorecerá la gestión del cambio.

2.-Establecimiento del Contexto
El establecimiento del contexto permitirá a la organización articular sus objetivos, definir los parámetros externos a internos a tener en cuenta en la gestión del riesgo, en definitivo a conocer la organización.

2.1.-Establecimiento del contexto externo (de la organización)
El contexto externo es importante para asegurar que los objetivos e inquietudes de las partes interesadas se tienen en cuenta cuando se desarrollan los criterios del riesgo. El contexto externo tiene en cuenta los requisitos legales y reglamentarios, las percepciones de las partes interesadas y otros aspectos específicos. En concreto, puede incluir, pero no se limita a:
  • El entorno social y cultural, político, legal, reglamentario, financiero, tecnológico, económico, natural y competitivo, a nivel internacional, nacional, regional o local.
  • Los factores y tendencias que tienen impacto sobre los objetivos de la organización.
  • Las relaciones con terceras partes interesadas, sus percepciones y valores.
2.2.-Establecimiento del contexto interno (de la organización)
El proceso de gestión del riesgo debe alinearse con la cultura, los procesos, la estructura y la estrategia de la organización. El contexto interno lo constituye todo aquello que en el seno de la organización puede influir en la manera en la que gestionará el riesgo. El contexto interno puede incluir, pero no se limita a:
  • El gobierno, la estructura de la organización, las funciones y la obligación de rendir cuentas.
  • Políticas, objetivos y estrategias que se establecen para conseguirlo.
  • Aptitudes, entendidas en términos de recursos y conocimientos (por ejemplo, capital, tiempo, personas, procesos, sistemas y tecnologías).
  • Los sistemas de información, los flujos de información y los procesos de toma de decisiones (tanto formales como informales).
  • Las relaciones con las partes interesadas, sus percepciones y sus valores.
  • La cultura de la organización.
  • Las normas, directrices y modelos adoptados por la organización.
  • La forma y profundidad de las relaciones contractuales.
2.3.-Establecimiento del contexto del proceso de gestión del riesgo
Una vez establecido el contexto de la organización, debemos establecer cuál es el contexto propio del proceso de gestión del riesgo para asegurar que el enfoque que utilizamos es apropiado a las circunstancias, a la organización y a los riesgos que afectan al logro de sus objetivos. En definitiva, se trata de establecer aspectos tales como los siguientes:
  • Definir metas y objetivos de las actividades de gestión del riesgo.
  • Definir las responsabilidades relativas al proceso de gestión del riesgo.
  • Definir las metodologías de apreciación del riesgo.
  • Definir el método para evaluar el desempeño y la eficacia de la gestión del riesgo.

Para no hacer demasiado largo el post nos quedamos aquí, y en post posteriores seguiremos analizado la gestión del riesgo de Compliance.

  • 17 Junio, 2016
  • Olga Martínez
  • Blog
  • 10 min
Volver al blog