IDENTIFICACIÓN, ANÁLISIS Y EVALUACIÓN DE
LOS RIESGOS DE COMPLIANCE
La organización debería identificar y evaluar sus riesgos de compliance. Esta evaluación puede estar basada en una apreciación de riesgos formal o bien puede llevarse a cabo a través de enfoques alternativos. La apreciación de riesgos de compliance constituye la base para la implementación del sistema de gestión de compliance y para planificar la asignación de recursos y de procesos que sean adecuados y apropiados para gestionar los riesgos de compliance identificados.
La organización debería identificar los riesgos de compliance relacionando sus obligaciones de compliance con sus actividades, productos, servicios y aspectos relevantes de sus operaciones, con objeto de identificar situaciones en las que pueden ocurrir incumplimientos de compliance. La organización debería identificar las causas y las consecuencias de los incumplimientos de compliance.
La organización debería analizar los riesgos de compliance considerando las causas y las fuentes de los
incumplimientos de compliance y la gravedad de sus consecuencias, así como la probabilidad de que ocurran los incumplimientos de compliance y las consecuencias asociadas. Las consecuencias pueden incluir, por ejemplo, daño personal y ambiental, pérdidas económicas, daño reputacional y responsabilidades administrativas.
La evaluación de riesgos incluye comparar el nivel del riesgo de compliance identificado durante el proceso de análisis con el nivel de riesgo de compliance que la organización puede y está dispuesta a aceptar.
Basándose en esta comparación, se pueden establecer las prioridades como base para determinar la
necesidad de implementar controles y la extensión de dichos controles (véase 6.1).
Los riesgos de compliance deberían reevaluarse periódicamente y en todo caso cuando haya:
– actividades, productos o servicios nuevos o modificados;
– cambios en la estructura o en la estrategia de la organización;
– cambios externos significativos, tales como circunstancias económico-financieras, condiciones de
mercado, pasivos y relaciones con los clientes;
– cambios en las obligaciones de compliance
– incumplimiento(s) de compliance.
NOTA 1 La extensión y el nivel de detalle de la apreciación de riesgos de compliance dependen de la situación de riesgo, el contexto, el tamaño y los objetivos de la organización y puede variar para subáreas específicas (por ejemplo, ambiental, financiera, social).
NOTA 2 El enfoque basado en el riesgo en la gestión de compliance no significa que para situaciones de riesgo bajo de incumplimientos de compliance, la organización acepte incumplimientos de compliance. Sirve de ayuda a la organización para centrar la atención primaria y los recursos en los riesgos más elevados de forma prioritaria y, en última instancia, cubrirá todos los riesgos de compliance. Todos los
riesgos/situaciones de compliance son objeto de seguimiento, corrección y acciones correctivas.
NOTA 3 La Norma ISO 31000 facilita una guía detallada sobre apreciación de riesgos.
Manual de responsabilidad penal personas juridicas
LIDERAZGO Y COMPROMISO
La alta dirección debería demostrar liderazgo y compromiso con respecto al sistema de gestión de
compliance:
a) estableciendo y defendiendo los valores fundamentales de la organización;
b) asegurando que se establezcan la política de compliance y los objetivos de compliance y que estos sean compatibles con la dirección estratégica de la organización
c) asegurando que se desarrollan e implementan las políticas, procedimientos y procesos para alcanzar los objetivos de compliance
d) asegurando que los recursos que se necesitan para el sistema de gestión de compliance están disponibles, distribuidos y asignados;
e) asegurando la integración de los requisitos del sistema de gestión de compliance en los procesos de
negocio de la organización;
f) comunicando la importancia de una gestión de compliance eficaz y conforme con los requisitos del
sistema de gestión de compliance;
g) dirigiendo y apoyando a las personas, para contribuir a la eficacia del sistema de gestión de compliance;
h) apoyando a otros roles de dirección relevantes a demostrar en sus correspondientes áreas su liderazgo en relación a sus responsabilidades en materia de compliance; i) asegurando el alineamiento entre los objetivos operacionales y las obligaciones de compliance;
j) estableciendo y manteniendo mecanismos de contabilidad, incluyendo la información puntual de
cuestiones relacionadas con compliance, incluyendo los incumplimientos de compliance;
k) asegurando que el sistema de gestión de compliance logre los resultados previstos;
l) promoviendo la mejora continua.
EJEMPLO Para que compliance sea eficaz se requiere un compromiso activo del órgano de gobierno y de la alta dirección que penetre en el conjunto de la organización. El nivel de compromiso se indica por
el grado en el que:
– el órgano de gobierno y todos los niveles de la dirección, a través de sus acciones y decisiones,
demuestran activamente su compromiso para establecer, desarrollar, implementar, evaluar, mantener y mejorar un sistema de gestión de compliance eficaz y que genera respuesta por parte de la organización,
– la política de compliance está formalmente aprobada por el órgano de gobierno,
– la alta dirección asume la responsabilidad de asegurar que el compromiso de compliance en la
organización es plenamente eficaz,
– todos los niveles de la alta dirección transmiten a todos los empleados de forma consistente un
mensaje claro (demostrado de palabra y acción) de que la organización cumplirá con sus obligaciones de compliance,
– el compromiso hacia compliance se comunica ampliamente en declaraciones claras y convincentes y apoyadas por actuaciones,
– se otorga a la función de compliance un nivel de autoridad que refleje la importancia de que compliance sea eficaz y se le da acceso directo al órgano de gobierno,
– se asignan recursos para establecer, desarrollar, implementar, evaluar, mantener y mejorar una cultura de compliance robusta a través de actividades de concienciación y formación,
– las políticas, procedimientos y procesos reflejan, no sólo los requisitos estrictamente legales, sino
también códigos voluntarios y los valores fundamentales de la organización,
– la organización asigna y exige responsabilidades de compliance a la dirección en todos los niveles de la organización,
– se requieren revisiones periódicas del sistema de gestión de compliance,
– el desempeño de compliance en la organización se mejora de forma continua,
– se toman acciones correctivas.
Vea nuestro Máster de Dirección de Empresas
1. Identificación de los Riesgos de Compliance
La identificación de riesgos de compliance consiste en reconocer y documentar todos los posibles eventos o situaciones que podrían llevar a incumplimientos normativos o éticos. Para llevar a cabo este proceso, se utilizan diferentes enfoques:
- Revisión de Normativas y Regulaciones: Identificar las leyes, reglamentos y normativas aplicables a la industria y al entorno operativo de la organización.
- Análisis de Procesos Internos: Revisar los procesos y procedimientos operativos para detectar posibles áreas de riesgo.
- Entrevistas y Encuestas: Realizar entrevistas y encuestas a empleados, directivos y otras partes interesadas para identificar posibles riesgos desde la perspectiva interna.
- Revisión de Incidentes Pasados: Analizar incidentes de incumplimiento anteriores para identificar patrones o áreas problemáticas recurrentes.
- Benchmarking: Comparar los riesgos identificados con los enfrentados por otras organizaciones en la misma industria.
2. Análisis de los Riesgos de Compliance
Una vez identificados, los riesgos de compliance deben ser analizados para comprender su naturaleza, causas, consecuencias y las circunstancias bajo las cuales podrían materializarse. El análisis incluye:
- Causas del Riesgo: Identificar las fuentes y los factores que contribuyen a cada riesgo. Estos pueden incluir fallos en los procesos internos, cambios regulatorios, falta de capacitación, entre otros.
- Impacto Potencial: Evaluar las posibles consecuencias si el riesgo se materializa. Esto incluye el impacto financiero, legal, reputacional y operativo.
- Probabilidad de Ocurrencia: Determinar la probabilidad de que el riesgo ocurra, basándose en datos históricos, la opinión de expertos y el contexto operativo.
- Interrelaciones entre Riesgos: Identificar si un riesgo puede desencadenar o estar relacionado con otros riesgos, lo que podría amplificar sus efectos.
3. Evaluación de los Riesgos de Compliance
La evaluación de riesgos de compliance implica priorizar los riesgos identificados y analizados para enfocar los recursos de gestión en aquellos que son más significativos para la organización. La evaluación incluye:
- Matriz de Riesgos: Desarrollar una matriz de riesgos que cruce la probabilidad de ocurrencia con el impacto potencial, categorizando los riesgos como bajos, medios o altos.
- Criterios de Aceptabilidad: Definir criterios sobre qué niveles de riesgo son aceptables para la organización y cuáles requieren intervención inmediata.
- Escenarios de Riesgo: Elaborar escenarios que simulen las posibles consecuencias de los riesgos más críticos para evaluar mejor su gravedad y la respuesta necesaria.
- Ranking de Riesgos: Clasificar los riesgos en orden de prioridad, basándose en la combinación de probabilidad, impacto y capacidad de la organización para mitigarlos.
Estrategias de Mitigación de Riesgos
Tras la evaluación, la organización debe desarrollar estrategias para mitigar los riesgos de compliance identificados:
- Controles Internos: Implementar o fortalecer los controles internos para reducir la probabilidad de que los riesgos se materialicen.
- Políticas y Procedimientos: Revisar y actualizar las políticas y procedimientos existentes para abordar los riesgos más relevantes.
- Capacitación y Concienciación: Asegurar que los empleados comprendan los riesgos y sepan cómo actuar para evitarlos, mediante programas de formación continua.
- Monitoreo y Auditoría: Establecer procesos de monitoreo y auditoría periódica para verificar la eficacia de las medidas de mitigación.