Cómo realizar un análisis de riesgos de cumplimiento en 7 pasos
En la actualidad, las organizaciones, cada vez más, necesitan realizar un análisis de riesgos de cumplimiento porque el marco regulatorio es cada vez más efímero. Esto se debe a los cambios y ajustes constantes a los que se someten las leyes y las disposiciones regulatorias, por parte de las autoridades encargadas, los Estados y los organismos supranacionales, como en el caso de la Unión Europea.
Pero también es el resultado de las exigencias de clientes, inversores y otras partes interesadas. Las organizaciones necesitan controlar las amenazas y trabajar en entornos cada vez más seguros. Y una buena forma de hacerlo es realizando análisis de riesgos de cumplimiento.
A continuación, explicamos qué es un análisis de riesgos de cumplimiento y cómo realizarlo de manera fácil y efectiva.
¿Qué es un análisis de riesgos de cumplimiento?
Un análisis de riesgos de cumplimiento es una evaluación que tiene como objetivo esencial identificar las áreas de la organización y los riesgos específicos a los que están expuestas en caso de transgredir una norma, ignorarla, dilatar o impedir su aplicación, realizar actividades que vayan en contra de la ética y la ley o, finalmente, incumplir cualquier acuerdo, compromiso u obligación.
El análisis de riesgos de cumplimiento se enfoca entonces en cuatro áreas específicas:
- Riesgos legales, que provocan sanciones, penalizaciones, multas, cierre de la operación y cualquier otra consecuencia derivada de una sentencia en un proceso judicial.
- Riesgos reputacionales, que se traducen en pérdida de la credibilidad y la confianza entre clientes, inversores, partners en la industria y miembros de la comunidad, entre otros.
- Riesgos financieros, entre los que se destacan la disminución de ingresos, el pago de sanciones y multas y la pérdida de valor de las acciones y de la organización en general.
- Riesgos operativos, como el cierre temporal o definitivo de la operación como consecuencia de un embargo, una sanción o el retiro de un permiso o una licencia.
¿Por qué aparecen los riesgos de cumplimiento?
Los riesgos de cumplimiento aparecen como resultado de la presencia de uno, alguno o todos los elementos que mencionamos a continuación. Estos elementos son a su vez riesgos que no han sido identificados en su momento, o lo que se conoce como riesgo residual. Entre los más relevantes tenemos:
- Fallas o ausencia de procesos eficaces de debida diligencia.
- Sistemas de Gestión de Cumplimiento arcaicos, en los que no se ha incorporado un soporte tecnológico.
- Desactualización con respecto al acontecer diario normativo y legislativo.
- Falta de formación, capacitación y entrenamiento.
- Negligencia por parte de los empleados o del Oficial de Cumplimiento.
- Falta de políticas de cumplimiento o deficiencias en ellas.
¿Por qué se realiza un análisis de riesgos de cumplimiento?
Porque se trata de una práctica rutinaria en algunos programas o sistemas de compliance. El análisis ayuda a determinar qué riesgos requieren atención inmediata y asignación de recursos, y cuáles pueden esperar.
El análisis es, así mismo, una prueba ante organismos reguladores o autoridades judiciales, que demuestra que se tomaron medidas para tratar los riesgos y que se trabajó en la prevención.
El análisis de riesgos se realiza también cuando hay evidencias de riesgos inminentes, o se han presentado incidentes e infracciones que hacen preciso revisar la gestión y determinar con precisión cuáles son los riesgos, cuál es su gravedad y qué tan efectivas son las acciones que se han tomado hasta el momento para tratarlos.
¿Cómo realizar un análisis de riesgos de cumplimiento?
El análisis es en esencia la aplicación de las teorías modernas de gestión de riesgos, basadas en el modelo PDCA – Planear, Hacer, Verificar y Actuar -. Los pasos a seguir, guardan similitud con los procesos de gestión de riesgos tradicionales. Básicamente, los podemos compilar en estos siete:
1. Identificar riesgos
En este paso se hace uso de metodologías como la lluvia de ideas, entrevistas o revisión de antecedentes históricos. Es importante incorporar empleados o directores de todas las áreas y de todas las ubicaciones, cuando las organizaciones tienen operaciones en otros países u otros continentes.
La observación de procesos es también una buena fuente de información para identificar riesgos, así como los datos e información relacionada con incidentes o infracciones ocurridas en el pasado. En este paso, las organizaciones que han digitalizado y automatizado sus Sistemas de Compliance, tendrán una lista de riesgos para trabajar, mucho más completa, actualizada y confiable.
2. Vincular riesgos con sus consecuencias
La dimensión real de los riesgos y su real impacto negativo, solo se adquiere entendiendo qué es lo que sucederá en la práctica cuando ocurren. Se trata de imaginar escenarios posibles, definiendo los efectos reales que tendrá para la organización la ocurrencia de un riesgo.
Imaginemos un riesgo y su posible escenario: una organización tiene procesos de debida diligencia poco eficaces, los cuales no prevén la posible contratación de familiares o amigos, especialmente en áreas tan sensibles como financiera o adquisiciones.
Así, un empleado, que sabe que esto es así, influye en la contratación de un familiar cercano, siendo el primero, el empleado, el que autoriza y verifica el trabajo del segundo. Por supuesto, hay un conflicto de intereses claro y un riesgo inminente de infracciones a la ley.
3. Categorizar los riesgos
Con una lista de riesgos completa y confiable, y entendiendo las consecuencias reales de cada amenaza, lo que sigue es priorizar los riesgos, de acuerdo con la gravedad del impacto y la probabilidad de ocurrencia.
Por supuesto, existen riesgos que ocupan primeros lugares y que requieren atención inmediata. Otros, al final de la lista, deben ser atendidos, pero podrán esperar el momento adecuado y la disponibilidad de recursos.
4. Revisar el marco regulatorio
La actividad legislativa, el comportamiento de los agentes reguladores, la experiencia de otras empresas de la industria, la información proveniente de foros o espacios de discusión especializados son, entre otros elementos, fuentes de información necesaria para monitorear e identificar con prontitud cambios en el escenario regulatorio y legal.
Algunas organizaciones reciben actualizaciones sobre cambios en disposiciones de carácter fiscal, tributaria, normativa o específicas de su industria. Sea cual sea la metodología adoptada, es preciso garantizar que cualquier cambio o modificación sea conocida de inmediato en la Oficina del Oficial de Cumplimiento.
5. Diseñar acciones de tratamiento e implementarlas
El paso a seguir es diseñar acciones para tratar los riesgos e implementarlas. Muchas de esas acciones serán controles destinados a eliminar el riesgo. Algunas amenazas, sin embargo, tendrán que ser admitidas pero se podrán adoptar mecanismos para mitigar el impacto o reducir la probabilidad de ocurrencia.
En algunos casos, el riesgo puede ser compartido o transferido. Es el caso de las organizaciones que contratan outsourcing para la contratación de nuevos empleados, basada en los más estrictos procesos de debida diligencia.
6. Verificar la eficacia de la gestión
La única forma de verificar la solidez y eficacia de la gestión y del análisis de riesgos de cumplimiento es verificándolos y poniéndolos a prueba. Es, en cierto modo, repetir el proceso, pero enfocándolo solo en el trabajo que se ha hecho. Nuevamente, las organizaciones que han implementado soluciones tecnológicas a la gestión, tendrán mejores oportunidades para verificar la eficacia de los controles y las acciones implementadas.
7. Repetir el proceso
La gestión, hasta este punto, habrá contribuido a eliminar muchas amenazas y a controlar otras. Pero habrá cosas que habrán salido mal o que son susceptibles de ser mejoradas. El análisis de riesgos de cumplimiento es una tarea cíclica y continua, que se repite una y otra vez, siempre pensando en la mejora continua.
El análisis de riesgos de cumplimiento es una actividad esencial para proteger a cualquier organización. El uso de herramientas automatizadas, diseñadas para asegurar una Gestión de Cumplimiento eficaz, productiva y segura, mejora el rendimiento de los equipos de compliance, del Oficial y de todos los empleados comprometidos con la gestión.
Software ISO 37301 de ISOTools Excellence
El análisis de riesgos de cumplimiento es apenas una de muchas tareas que se pueden automatizar dentro de un Sistema de Gestión de Compliance. Las organizaciones que han adoptado el estándar internacional de gestión ISO 37301, encontrarán soluciones muy interesantes, ágiles y productivas en el Software ISO 37301 de ISOTools Excellence.
Esta es una plataforma avanzada que incorpora funcionalidades que permiten optimizar, modernizar y agilizar la gestión: entregar informes evaluativos útiles y oportunos, obtener una visión panorámica constante y real del estado de la gestión y, en resumen, mantener todos los riesgos bajo control y garantizar el cumplimiento.
Encuentra aquí información completa sobre el Software ISOTools para ISO 37301.