Hablar de compliance es hablar de cumplimiento normativo y de riesgos de cumplimiento, pero ¿cómo se determinan esos riesgos a los que se enfrenta una empresa? La respuesta es la evaluación de riesgos de compliance. En este artículo explicamos en qué consiste y cómo hacerla.
En este artículo hablamos de:
¿Qué es la evaluación de riesgos de compliance?
La evaluación de riesgos de compliance es un análisis de todos los factores que pueden hacer que una empresa (ya sea a través de las acciones o decisiones de sus directivos o empleados) incumpla con las sus obligaciones legales, normativas, estatutarias o contractuales.
Dentro de un sistema de gestión de compliance, la evaluación de riesgos es un paso esencial, puesto que si no se conocen los riesgos de cumplimiento normativo a los que está expuesta la empresa, es imposible poder prevenirlos de manera adecuada.
Es importante no confundir la evaluación de riesgos de compliance con las auditorías de cumplimiento, puesto que no tienen la misma finalidad; la primera debe hacerse siempre con carácter previo a la elaboración del programa compliance (aunque después será necesario realizarla otras veces, como veremos más adelante) y se centra únicamente en los riesgos de cumplimiento. Mientras las segundas sirven para evaluar, con una periodicidad determinada, la eficacia del programa de compliance y sus medidas, evaluando otros elementos del programa, aparte de los riesgos.
Ahora bien, las auditorías de compliance sí pueden servir para detectar riesgos de cumplimiento que no se hubieran abordado en la evaluación de riesgos, por ejemplo, porque se haya producido un cambio normativo reciente que la evaluación no pudo tener en cuenta.
¿Por qué se debe hacer una evaluación de riesgos de compliance?
Aparte de que la evaluación de riesgos de compliance es uno de los aspectos que se valoran del plan de prevención de delitos penales o planes de compliance, si la empresa enfrenta un proceso judicial; hacer este tipo de evaluaciones es importante porque:
- Permite identificar todos los riesgos de cumplimiento a los que está expuesta la empresa.
- Determinar qué riesgos son aceptables para la empresa y distribuir de una manera más adecuada los recursos para gestionarlos.
- Es esencial para poder llevar una mejora continua de la empresa y sus procesos en materia de cumplimiento normativo.
- Permite detectar nuevos riesgos (siempre que se realice con cierta periodicidad o cuando se produzcan cambios significativos en la empresa).
- Implementar los controles y aplicar las medidas de corrección más adecuadas para prevenir y gestionar los riesgos.
- Atenuar o eximir la responsabilidad penal de la empresa.
- Evitar sanciones.
- Evitar daños reputacionales.
Cómo hacer una evaluación de riesgos de compliance paso a paso
Cualquiera de los sistemas de gestión de compliance certificable establece una serie de pasos para realizar una completa evaluación de riesgos de compliance, que detallamos a continuación:
- Contextualizar la empresa
El compliance officer debe conocer el contexto de la empresa, es decir, su actividad, sus productos, sus clientes y otros stakeholders, su localización, su tamaño, etc., para, en base a ese contexto, determinar qué normas la afectan, puesto que de ellas se derivarán todas sus obligaciones de cumplimiento.
Estas normas pueden ser de diferentes tipos; leyes, reglamentos, convenios colectivos, normativa interna (código ético, estatutos, código de buenas prácticas, protocolos, etc.), obligaciones contractuales y cualquier compromiso voluntario que haya adquirido la empresa.
Si bien es cierto que muchas leyes son de obligado cumplimiento para cualquier tipo de empresa, hay ciertas obligaciones que pueden variar en función del volumen de facturación, del número de empleados, de si opera en mercados internacionales, de si es una sociedad limitada o una sociedad anónima, si es una cooperativa, etc.
Para poder identificar los riesgos de cumplimiento es fundamental conocer este contexto.
- Identificación de riesgos
Conocido el contexto, el siguiente paso es identificar los riesgos derivados del mismo, es decir, qué obligaciones de cumplimiento tiene la empresa y qué riesgos de incumplimiento pueden llevar asociados.
Como hemos dicho, los riesgos de cumplimiento tienen su origen en todas las normas que afectan a la empresa, tanto por mandato legal como adquiridas de manera voluntaria o por contrato. Por lo tanto, los riesgos van mucho más allá de los delitos del Código Penal en los que la empresa puede incurrir en responsabilidad penal.
Por ejemplo, cualquier empresa que trate datos personales debe cumplir con el RGPD y la LOPDGDD; algunos de los riesgos de cumplimiento que se derivan de las obligaciones de estas normas son: no llevar los correspondientes registros de actividades de tratamiento, no implementar medidas técnicas y organizativas de seguridad que garanticen la protección de los datos, no notificar las brechas de seguridad, etc.
En este punto puede ser buena idea contar con la asistencia de los responsables de los distintos departamentos de la empresa, para elaborar un catálogo de riesgos de compliance lo más exhaustivo posible.
- Realizar el análisis de riesgos
Una vez se han identificado todos los riesgos de cumplimiento, estos deben analizarse, para ello recurriremos a la elaboración del mapa de riesgos.
Este mapa sirve para medir la probabilidad de materialización de los riesgos y el nivel de impacto que tendrían para la empresa y ponerlas en relación, de manera que permite determinar qué riesgos tienen más probabilidad de ocurrir y cuánto daño pueden representar para la empresa (daño financiero, penal, reputacional, etc.).
Elaborar el mapa de riesgos de compliance es un paso fundamental, porque en base a sus conclusiones, la empresa podrá determinar su apetito de riesgo (qué nivel de riesgo está dispuesta a aceptar) y cómo distribuir los recursos de lo que dispone para mitigar aquellos riesgos más críticos, es decir, podrá priorizar los riegos en función de su mayor probabilidad de materialización y mayor nivel de impacto negativo.
- Aplicar controles y verificar su eficacia
Analizados los riesgos y determinados cuáles son más prioritarios para la empresa, se elegirán y aplicarán los controles necesarios para prevenir su materialización o, en caso de que ocurrieran, mitigar su impacto para la empresa. Así mismo, se deberá verificar la eficacia de los controles implementados poniéndolos a prueba.
Una vez decidido qué controles se van a implementar, debe hacerse un nuevo mapa de riesgos para determinar el riesgo residual (que es el nivel de riesgo tras la aplicación de los controles y que debería ser menor que el previsto en el primer mapa de riesgos).
- Actualización y evaluación periódica
Como las normas que afectan a una empresa, así como su contexto no son, generalmente, estáticos, sino que cambian y se modifican con el tiempo, será necesario actualizar la evaluación de riesgos de manera periódica (estableciendo un periodo de tiempo concreto), así como cada vez que se produzcan cambios significativos en la empresa o en las normas que la afectan.
Esta evaluación periódica de los riesgos de cumplimiento, permitirá llevar una mejora continua del programa de compliance y una mejor gestión de los riesgos.
- Documentación del procedimiento
Como último paso, se deberá documentar todo el procedimiento de evaluación de riesgos de compliance. Este registro resultará útil si la empresa necesita demostrar la eficacia de su programa de compliance y que se han tenido en cuenta todos los riesgos de cumplimiento derivados de sus obligaciones legales.
Finalmente, la evaluación de riesgos de cumplimiento normativo es una de las responsabilidades del compliance officer; es una función que puede realizarse de manera «manual» o recurrir a un software de gestión de cumplimiento que permitirá automatizar algunos de los pasos que hemos visto más arriba, además de facilitar el registro y documentación de todo el procedimiento.
En definitiva, cualquier empresa que tenga intención de implementar un programa de compliance, deberá realizar una evaluación de riesgos de compliance para que el programa resulte efectivo.