Evaluación de riesgos de cumplimiento: cómo crear una plantilla de seguimiento en 3 pasos
El marco regulatorio y las obligaciones de cumplimiento para las organizaciones es cada vez más estricto y diverso. La evaluación de riesgos de cumplimiento se extiende hoy a áreas tan disimiles como privacidad de los datos, obligaciones tributarias y Seguridad y Salud en el Trabajo, por mencionar apenas tres de las más comunes, con un factor de presión adicional: organismos reguladores cada vez más incisivos y demandantes.
Las organizaciones responden con programas de cumplimiento más eficaces, y dentro de ellos, una efectiva evaluación de riesgos de cumplimiento. La idea es que se implementen procesos repetibles, válidos para todas las áreas, y una plantilla de seguimiento para la evaluación de riesgos es una herramienta que se enmarca dentro de ese propósito.
¿Qué es una evaluación de riesgos de cumplimiento?
En términos generales se trata de realizar la tarea de identificación, análisis y categorización de amenazas que pueden afectar la capacidad de cumplimiento de la organización.
La evaluación es apenas una parte de un conjunto total que se conoce como programa de cumplimiento o sistema de gestión de cumplimiento, que además de la evaluación incluye el tratamiento de los riesgos y el posterior monitoreo para verificar la eficacia de las acciones implementadas.
La forma ideal para comprobar el cumplimiento es una auditoría al programa o al sistema de gestión de compliance. En la práctica, el eje central de un programa eficaz es una evaluación de riesgos de cumplimiento efectiva. Y para ello, contar con una plantilla estandarizada resultará muy útil.
¿Cómo crear una plantilla para la evaluación de riesgos de cumplimiento? – 3 pasos
Las evaluaciones de riesgos en el área de cumplimiento son requeridas para la implementación de un sistema de gestión o un programa que inicia desde cero, pero también para la revisión de uno que ya está en marcha. Pero también son parte fundamental del ciclo de funcionamiento.
Por eso es tan importante contar con una planilla de seguimiento. Hacerlo en tres pasos es muy fácil:
1. Fijar los objetivos
Como todas las tareas importantes, lo primero es entender a donde se quiere llegar. Es importante entonces fijar los objetivos de la evaluación de riesgos de cumplimiento, pero también de la gestión en general. Entre otros, se espera que la evaluación permita:
- Obtener un perfil de riesgos de cumplimiento de la organización.
- Identificar brechas y puntos en los que se pueda mejorar.
- Diseñar una estrategia de gestión de cumplimiento para un periodo de tiempo definido.
- Mejorar el programa de cumplimiento.
- Registrar la realización de la evaluación de riesgos de cumplimiento.
- Formular recomendaciones para eliminar, mitigar, compartir o tolerar riesgos específicos.
Si la plantilla puede hacer esto, como mínimo, la tarea habrá resultado muy productiva. Pero no significa que no sea posible esperar más: es importante que la plantilla sea un documento dinámico, flexible, que se pueda ajustar y, sobre todo, comprensible para todos en todas las áreas y niveles de la organización.
2. Prepararse para la evaluación
Definidos los objetivos, lo que sigue es poner todas las piezas en su lugar. Aquí, se divide la tarea en varios apartados:
- Conformar un equipo, del que pueden formar parte las personas que intervinieron en la definición de objetivos, aunque también pueden incorporarse personas nuevas, sobre todo si estas representan diferentes áreas, poseen competencias diversas y proyectan liderazgo y compromiso.
En este equipo será preciso asignar responsabilidades: director, personal con experiencia en gestión de riesgos, e incluso puede tener una participación importante el Oficial de Cumplimiento. - Desarrollar metodologías y un marco de trabajo, para lo cual el factor más importante serán las personas que se han elegido por sus competencias en el área de gestión de riesgos.
En este apartado básicamente se definen categorías de riesgo y se diseñan estrategias para mitigarlos o eliminarlos, de acuerdo con la categoría que se les haya asignado. Los hallazgos aparecidos en este momento pueden derivar en evaluaciones más profundas. Por el momento, lo que sigue es elegir una metodología adecuada que considere los siguientes factores:- ¿Cómo recopilar la información? Pueden ser entrevistas, encuestas, observación directa…
- ¿Cómo organizar la información recopilada?
- ¿Dónde almacenar la información?
- ¿Cómo asegurar la posibilidad de comparar la información con la obtenida en otras evaluaciones?
- ¿Será preciso incorporar un sistema numérico para categorizar los riesgos?
- ¿Se elegirá un modelo cuantitativo o cualitativo para la categorización de los riesgos?
- Decidir dónde se almacenarán los datos y la información, una vez el flujo y la cantidad de estos desborden el escritorio del director del proyecto. Son varios los factores a tener en cuenta aquí, entre ellos la disponibilidad, accesibilidad, seguridad, control y posibilidad de comparar.
Las hojas de cálculo, que son una primera solución, no ofrecen la seguridad requerida de restricción de acceso y mucho menos cumplen con el parámetro de comparabilidad. En organizaciones muy pequeñas, sin embargo, y en una etapa experimental, podrían funcionar, aunque es bueno entender que se trata de una herramienta proclive al error humano.
Elegida la ubicación y las herramientas que se utilizarán, la plantilla requiere algunos datos imprescindibles: descripción del riesgo o del escenario de amenaza, calificación del riesgo (cualitativa, cuantitativa o ambas), controles existentes vinculados a la amenaza con su respectiva calificación de amenaza y riesgo residual, también con su calificación.
En un espacio final, la plantilla de evaluación de riesgos de cumplimiento puede incluir sugerencias de acciones para tratar los riesgos, como compartirlos, eliminarlos, aislarlos o admitirlos. - Elaborar un plan de implementación y un cronograma de trabajo es la etapa final en este segundo paso de preparación. Aquí se detallan todas las tareas y actividades que será preciso llevar a cabo. Cuanto más detalle, más efectividad. El detalle incluirá las personas que participarán en cada tarea y el periodo de tiempo en el que se espera que se desarrolle la actividad.
3. Realizar la evaluación de riesgos de cumplimiento
Están todos los elementos necesarios para acometer la evaluación de riesgos de cumplimiento. Todo lo que se ha planificado, se pone ahora en práctica sobre el terreno: entrevistas, encuestas, observación, recopilación de evidencia e información, clasificación de los riesgos, categorización, acciones para eliminar o mitigar, disposición de la información y los datos en el repositorio elegido.
Si el trabajo se ha hecho bien, el primer resultado tangible de la evaluación es una lista de riesgos priorizada y categorizada. Lo que falta es elaborar un informe de riesgos final y entregarlo a la Alta Dirección y al Oficial de Cumplimiento.
Tras seguir los pasos anteriores, se contará con una plantilla para la evaluación de riesgos de cumplimiento, que se puede seguir una y otra vez. En cada repetición es probable que surjan ideas para mejorarla. También, la acumulación de información valiosa, con el tiempo, supondrá la necesidad de optar por una solución informática para apoyar la gestión.
Software ISO 37301 de ISOTools
Dentro de la Gestión de Compliance, la evaluación de riesgos de cumplimiento desempeña un papel fundamental. Hemos planteado la necesidad de contar con un repositorio que aporte seguridad y accesibilidad controlada a la información.
Pero, además, anotamos los problemas que surgen al trabajar con soluciones como hojas de cálculo, por ejemplo. El Software ISO 37301 de ISOTools, es una solución avanzada diseñada para resolver todos los requerimientos que plantea la Gestión de Cumplimiento moderna.
Este software es un gran aliado para el logro de los objetivos de cumplimiento de una empresa moderna. Compruébelo aquí.