A la hora de gestionar los riesgos de compliance, existen diferentes posturas o enfoques. Para algunos, los riesgos asociados al cumplimiento corporativo son un coste “natural” de hacer negocios en el entorno regulatorio actual. Para otros, no tratarlos implica una probabilidad alta de perder dinero, afectar la reputación y disminuir oportunidades comerciales, entre otras consecuencias igualmente lesivas para la organización.
Tan diverso y dinámico como es el entorno regulatorio son los riesgos de compliance. Existen diversos tipos de ellos, son diferentes sus efectos e igualmente lo son las acciones requeridas para gestionarlos.
El riesgo de cumplimiento es una amenaza real. A continuación, abordamos por qué lo es, cuál es su verdadero impacto y cuál es la forma adecuada de gestionarlo.
Riesgos de compliance – ¿Qué son?
El riesgo de cumplimiento es el impacto negativo que puede afectar a una organización como consecuencia del incumplimiento de sus obligaciones legales, normativas, regulatorias o contractuales.
Las posibles consecuencias se presentan de diferentes formas: sanciones, multas, pérdidas materiales, pérdida de oportunidades comerciales, paralización de la operación, daño a la reputación, pérdida de valor de la marca e incapacidad para retener los mejores empleados, siendo estos algunos de los más representativos.
Los riesgos de compliance afectan a todas las organizaciones, en todos los sectores y en todas las industrias. Sin embargo, es claro que aquellas organizaciones que operan en sectores altamente regulados, como farmacéutico o financiero, tienen una exposición mucho más alta.
Diferentes tipos de riesgos de compliance
Las organizaciones están expuestas a diferentes tipos de riesgos de cumplimiento. Dependiendo del sector, de la complejidad, del tamaño y de la industria, la exposición a un tipo de riesgo determinado puede ser mayor o menor.
En términos muy generales, los riesgos de cumplimiento se pueden agrupar en cinco categorías:
- Soborno, fraude y otro tipo de prácticas ilegales, además de entrar en el espectro de riesgos de corrupción, también contravienen la ley y, por ello, tienen cabida dentro de los riesgos de cumplimiento. Robo, soborno, malversación de fondos, fraude, son entre otras, prácticas ilegales que implican el incumplimiento con una ley.
- Seguridad de la información y privacidad de datos, es un tipo de riesgo que hoy afecta a todo tipo de organizaciones, especialmente en lo relacionado con la privacidad de los datos y la conformidad con GDPR.
- Cuestiones ambientales, que incluyen contaminación, uso de productos químicos nocivos, eliminación inadecuada de desechos y residuos, contaminación de fuentes de agua y destrucción de hábitats naturales. Además del incumplimiento con normas, acuerdos o regulaciones, estas cuestiones pueden representar el incumplimiento de los requisitos de algún estándar adoptado por la organización.
- Riesgos de procesos, que se presenta cuando no se cumple con un procedimiento o un proceso establecido para realizar una tarea o para alcanzar la conformidad con un estándar, como Calidad o Seguridad de la Información, por ejemplo.
- Salud y Seguridad en el Trabajo, es un área que tiene una alta demanda de obligaciones. Obligaciones que provienen de organismos reguladores, de normas estatales, de acuerdos con sindicatos y otro tipo de asociaciones de trabajadores, todas ellas de igual importancia y con alto impacto negativo para la organización.
¿Cómo gestionar los riesgos de compliance?
La gestión de riesgos de cumplimiento comparte procedimientos, herramientas y métodos de análisis con la misma tarea desarrollada en otras áreas. Lo específico del riesgo, y especialmente de las fuentes de las que se deriva, hacen, sin embargo, que esta tarea sea diferente.
En la gestión de riesgos de compliance, observar las siguientes prácticas facilitará la labor y asegurará el éxito:
1. Búsqueda exhaustiva de fuentes de obligaciones
Esto requiere la participación de empleados clave en todas las áreas de la organización, conocedores del acontecer regulatorio y normativo diario en sus respectivas dependencias. Por supuesto, la oficina de cumplimiento, si existe, y la Alta Dirección, tienen una participación definitiva en esta etapa. Son ellos quienes conocen el marco legal general bajo el que opera la organización.
Pueden existir aún agujeros negros o vacíos de legislación que no se conocen. Internet, consultas con organizaciones de la misma industria o con especialistas y consultores externos, terminarán de aportar una comprensión clara de las obligaciones de cumplimiento de la organización.
2. Aprovechar lo que ya se ha avanzado
Al igual que la Gestión de Calidad, o de Seguridad y Salud en el Trabajo, en el área de cumplimiento nunca se inicia desde cero. Todas las organizaciones hacen algo para obtener un producto de calidad, o para realizar un trabajo en condiciones seguras, aunque esto no esté estandarizado formalmente.
Con los riesgos de compliance ocurre lo mismo. Y ese camino, corto o largo, en el que ya se ha avanzado, constituye una importante base para construir un programa sólido. Algunas fuentes de ese avance se encuentran en el trabajo de los profesionales en gestión de riesgos, en auditorías internas, en el registro histórico de procesos legales y jurídicos de la organización…
3. Asignar responsabilidades de riesgos
El espectro de obligaciones, y por tanto de riesgos, puede ser muy amplio. Esto se evidencia con base en el inventario de obligaciones que se obtiene a partir del trabajo realizado en el primer paso.
Con ese mismo listado, es fácil adjudicar la propiedad del riesgo a una persona. Ese empleado, se encargará de monitorear el riesgo, informar sobre su evolución o su desaparición eventual, y de tomar las acciones necesarias para cumplir y para mitigar o evitar el riesgo.
Aprende qué son los riesgos de #Compliance, los ejemplos más representativos y recomendaciones útiles para gestionarlos bajo #ISO37301 #Cumplimiento #RiskManager Share on X4. Implementar acciones procesables y realizables
Para comprender qué significa «acciones procesables y realizables», veamos un ejemplo extremo: un Oficial de Cumplimiento ordena a un propietario de riesgo que, para evitar el riesgo de incumplimiento de una norma, cambie la legislación.
Esto no es realizable y difícilmente procesable. Las acciones para tratar los riesgos de cumplimiento deben ser claras, entendibles, realizables, comprobables y viables. Estas acciones deben ser el resultado de un ejercicio de planificación cuidadoso, en el que se priorice el cumplimiento.
5. Apoyarse en experiencias externas
Con un enfoque similar al punto anterior sobre aprovechar la experiencia interna previa, conviene destacar la importancia de compartir experiencias con organizaciones similares, sometidas al mismo marco regulatorio y, en lo posible, pertenecientes a la misma industria. Esto aporta una comprensión integral que facilita la evaluación de riesgos de compliance.
6. Revisar las evaluaciones de riesgos periódicamente
Los riesgos de cumplimiento pueden ser los más volátiles y dinámicos en el espectro de amenazas para una organización. Las leyes cambian todos los días, se suscriben acuerdos a diario, se firman contratos, normas desaparecen, se crean otras…
El análisis y la evaluación continuos se hacen necesarios para garantizar un entorno seguro.
7. Aprovechar la tecnología
El trabajo, hasta el momento, parece arduo y complejo. Y lo es. Por eso es importante apoyar la gestión de riesgos de compliance con tecnología acorde con la tendencia de Transformación Digital.
Las organizaciones que implementan Sistemas de Gestión de Cumplimiento, automatizados y digitalizados, tendrán a la mano las herramientas necesarias para analizar, evaluar, monitorear, revisar, solucionar problemas, identificar nuevos riesgos y, en fin, desarrollar una gestión eficiente que alcance los objetivos propuestos y de verdad proteja a la organización de los efectos desfavorables del incumplimiento.
Curso Introducción a la nueva ISO 37301
ISO 37301 es un estándar relativamente reciente, para la gestión de cumplimiento, certificable, que presenta requisitos para el tratamiento efectivo de los riesgos de compliance, en entornos regulatorios tan exigentes como los que caracterizan el mundo corporativo en este siglo XXI.
El Curso Introducción a la nueva ISO 37301, es un nuevo programa de la Escuela Europea de Excelencia, que introduce de una forma instructiva y práctica los requerimientos y particularidades de este nuevo estándar ISO.
Este programa de excelencia aporta recursos exclusivos, contenidos, plantillas y otras herramientas de análisis que facilitan la comprensión de la norma y su puesta en práctica en cualquier organización. Hoy encuentras una convocatoria abierta para este programa: inscríbete aquí.
Curso Auditor Interno ISO 37301 – Sistema de Gestión de Compliance
Para aquellos profesionales que ya cuentan con experiencia en materia de gestión de cumplimiento o que quieren impulsar su carrera profesional en un área en auge, el Curso Auditor Interno ISO 37301 Sistema de Gestión de Compliance es el programa que necesitan.
Una formación de alto nivel, recursos formativos exclusivos y la certificación de ISOTools Excellence, la Escuela Europea de Excelencia, BDO y TÜV NORD.
Adquiere las competencias para ser auditor interno de sistema de gestión de compliance inscribiéndote ahora.