Riesgo de cumplimiento: qué es y cómo categorizarlo
El riesgo de cumplimiento es la exposición potencial de una organización a sanciones legales, pérdidas materiales y afectación a la reputación como consecuencia de no actuar de acuerdo con las leyes y regulaciones que le son aplicables, y a los compromisos contractuales que asume.
Las organizaciones de todos los tipos y tamaños están expuestas a riesgo de cumplimiento, ya sean públicas o privadas, con o sin fines de lucro. El incumplimiento de las leyes y regulaciones aplicables afectará las finanzas y conducirá a la pérdida de oportunidades de negocio.
Pero no todos los riesgos tienen la misma relevancia. Conocer esto y delimitar con exactitud el riesgo de cumplimiento resultará de gran utilidad para las organizaciones que desean o tienen la necesidad de gestionar de forma adecuada el cumplimiento.
Riesgo de cumplimiento – ¿Qué es?
El riesgo de cumplimiento es un subconjunto de la gestión de riesgos corporativos. Las organizaciones enfrentan muchos riesgos, y entre ellos, los de cumplimiento, que como ya hemos afirmado es la exposición a afectación financiera y reputacional, como consecuencia directa de no cumplir con una norma, una regulación, una ley o un acuerdo.
Los riesgos de cumplimiento representan una importante preocupación para todo tipo de organizaciones, pero son aún más relevantes para las que operan en los llamados sectores altamente regulados, como el farmacéutico, sanitario, financiero…
Aunque la gestión del riesgo de cumplimiento tiene alcance sobre todas las áreas y todos los niveles de la organización, algunas de ellas adquieren especial relevancia a la hora de categorizarlos y establecer prioridades. Los tipos más comunes de riesgo de cumplimiento son aspectos de la operación que afectan a la mayoría de los negocios. Estos incluyen:
1. Prácticas corruptas e ilegales
El cumplimiento legal garantiza que la organización, sus representantes y empleados cumplan con las leyes y regulaciones. Los riesgos comunes de cumplimiento en esta área involucran prácticas ilegales como el fraude y el soborno, el robo, el lavado de dinero y la malversación.
2. Violaciones de privacidad
Las organizaciones que tratan información confidencial de sus clientes están obligadas a cumplir normas específicas para la protección de sus usuarios. El riesgo de cumplimiento es muy común y su prevención requiere la participación de expertos en el área de TI y de seguridad de la información.
3. Infracciones ambientales
Se relacionan con la contaminación y la afectación ambiental como causa de la operación de la organización. Las consecuencias incluyen destrucción del hábitat, uso de químicos nocivos, eliminación de desechos peligrosos y la contaminación de fuentes de agua. Muchas organizaciones integran la sostenibilidad como estrategia comercial y como herramienta efectiva para cumplir con las regulaciones ambientales.
4. Incumplimiento de estándares
Se refiere al riesgo de incumplimiento de un proceso o un procedimiento necesario para completar una tarea, o a una desviación del proceso estándar. Un ejemplo puede ser un requerimiento de seguridad informática para acceder a una red remota. Un empleado que no siga el procedimiento adecuado para el acceso remoto pone en riesgo el proceso y la conformidad con el estándar.
5. Infracciones de seguridad y salud en el trabajo
Las organizaciones de todo tipo, y en cualquier lugar del mundo, se obligan a seguir protocolos y regulaciones precisas sobre seguridad y salud en el trabajo. Muchas de estas obligaciones son verificadas por organismos reguladores, como la Agencia Europea para la Seguridad y la Salud en el Trabajo o instituciones públicas a nivel nacional.
Categorizar el riesgo de cumplimiento – ¿Cómo hacerlo?
No todos los riesgos de cumplimiento tienen la misma importancia. De hecho, los riesgos que son en extremo prioritarios para una organización, pueden no ocupar los primeros lugares en la agenda del oficial de cumplimiento de otra organización.
La categorización se realiza, como norma general de la gestión de riesgos, considerando dos factores: la probabilidad de ocurrencia y el impacto negativo generado por la amenaza.
La probabilidad de ocurrencia es un elemento de valoración subjetivo, que difiere de una organización a otra. El posible impacto negativo, no obstante, es constante para las diferentes empresas. Algunas de las afectaciones negativas que es preciso considerar en todo tipo de organizaciones para categorizar el riesgo de cumplimiento son:
1. Impacto jurídico
La organización puede verse obligada a pagar multas y sanciones, monetarias o físicas, pero sus representantes o los miembros de la Alta Dirección podrían ser encarcelados, incautados sus bienes y ser inhabilitados para ejercer su profesión.
2. Impacto financiero
No solo por el pago de multas y sanciones, sino por la pérdida de confianza de inversionistas, accionistas, socios y clientes.
3. Impacto a la reputación
Los comentarios negativos y las noticias en los medios o en eventos propios de la industria, afectan la percepción de los clientes y el público acerca de la marca. También disminuye la confianza de los empleados.
4. Impacto de negocios
Algunos riesgos de cumplimiento tendrán el potencial para afectar la capacidad para operar de la organización. La clausura de instalaciones, cierre de planta o embargos comerciales son un ejemplo de ello.
Software ISO 37301 de ISOTools
El tratamiento de los riesgos de cumplimiento es tal vez la tarea más importante que se lleva a cabo en la oficina del oficial de cumplimiento. Pero es una tarea que puede llegar a ser abrumadora si no se cuenta con una herramienta que automatice la gestión.
El Software ISO 19600/37301 de ISOTools permite optimizar cada paso de los procesos de gestión de compliance incluyendo, por supuesto la gestión de riegos.