Para poder elaborar un plan de compliance adecuado a la situación de la empresa y a los riesgos de cumplimiento normativo a los que está expuesta, es necesario no solo determinar esos riesgos, sino también el impacto que pueden tener sobre ella. Para poder llevar a cabo dicha tarea, debemos hacer un mapa de riesgos compliance.
En las siguientes líneas explicaremos en qué consiste y cómo hacer un mapa de riesgos compliance para la empresa.
En este artículo hablamos de:
¿Qué es un mapa de riesgos compliance?
El mapa de riesgos compliance, también llamado matriz de riesgos compliance, es la metodología y herramienta que nos sirve para identificar y definir los riesgos de compliance a los que está expuesta una organización. Es decir, a través del mapa de riesgos compliance podemos saber qué nivel y tipos de riesgos puede enfrentar la empresa respecto al cumplimiento de las leyes que la afectan, así como de su normativa interna.
Por lo tanto, el mapa de riesgos compliance es una herramienta fundamental para elaborar cualquier programa de compliance, ya que nos permite diseñar las medidas y controles adecuados para mitigar o eliminar los riesgos identificados, detectarlos y gestionarlos si finalmente se producen.
Puesto que existen diferentes tipos de compliance, no solo hablamos de un mapa de riesgos de una empresa, sino que es posible elaborar varios, en función de las normativas que le sean de aplicación, aunque algunos riesgos podrán agruparse en un solo plan de compliance legal (como puede ser la normativa de igualdad, la de riesgos laborales o la laboral).
Por ejemplo, un mapa de riesgos penales servirá para detectar qué delitos es más probable que puedan cometer los miembros de una empresa y en qué procesos, y, en base a ello, adoptar las medidas y controles que formarán parte del plan de compliance penal de la empresa.
O, si la empresa se halla inmersa en un proceso de digitalización, se podrá hacer un mapa de los riesgos inherentes y derivados de este proceso, tanto durante el mismo como posteriormente y con ello elaborar un plan de compliance tecnológico que permita a la empresa mitigar, prevenir o detectar estos riesgos de incumplimiento, por ejemplo, en materia de protección de datos.
¿Quién debe elaborar el mapa de riesgos compliance?
Puesto que la elaboración del programa de compliance compete al órgano de administración de la empresa, hacer el mapa de riesgos compliance es, también, una de sus responsabilidades.
Ahora bien, pueden delegarla en un comité de compliance creado precisamente para crear el programa de compliance de la empresa. Este comité, dependiendo del tamaño de la empresa, puede estar formado por miembros de diferentes áreas o departamentos y contar con la ayuda y asesoramiento del compliance officer, si la empresa ha designado o contratado uno.
Cómo hacer un mapa de riesgos compliance paso a paso
Antes de proceder a explicar los diferentes pasos para elaborar un mapa de riesgos compliance, es necesario comprender los siguientes conceptos relacionados con ello (algunos de ellos ya los hemos ido mencionando más arriba):
- Riesgo inherente: es el riesgo ligado a la propia actividad que desarrolla la empresa. Es un riesgo teórico.
- Riesgo residual: es el nivel de riesgo que queda tras la aplicación de las medidas y controles del plan de compliance. Es un riesgo real.
- Probabilidad: hace referencia a la posibilidad de materialización de un riesgo cuando no hay medidas o controles para su mitigación.
- Impacto: son las consecuencias que la materialización de un riesgo tiene para la empresa (impacto en su reputación, impacto económico, impacto legal, etc.).
- Controles: son los mecanismos implementados para prevenir o reducir las probabilidades de que un riesgo se materialice. Con carácter general, podemos hablar de tres tipos de controles:
- Preventivos, para eliminar las causas del riesgo.
- Correctivos, para devolver a la normalidad a la empresa y, en su caso, castigar la conducta que dio lugar a la materialización del riesgo (es decir, la comisión de una infracción o delito).
- Detectivos, para mitigar las consecuencias tras la materialización del riesgo.
Identificar los riesgos de cumplimiento
El primer paso es identificar los riesgos de cumplimiento a los que está expuesta la empresa, para lo que es necesario contextualizarla en su conjunto; actividad a la que se dedica, número de empleados, infraestructura, zona geográfica en la que se ubica, organización interna, normativas sectoriales, estatales y locales que la afectan, etc.
Basándonos en esta información podremos identificar a qué riesgos de cumplimiento se expone la empresa en el desarrollo de sus procesos y procedimiento y crear con ellos una lista de riesgos relativos a su estructura interna, sus miembros (plantilla, directivos, administradores…), su sector de actividad y el producto o servicio que comercializa.
Es importante ser lo más exhaustivos posible, de manera que la lista de riesgos sea lo más completa posible. Se puede recurrir a la ayuda de los diferentes departamentos de la empresa para la identificación de riesgos relacionados con su área y procesos.
Asignar responsables
En línea con lo anterior, se deberán asignar responsables para cada área en la que se hayan identificado y detectado riesgos de incumplimiento. Los responsables tienen una doble tarea, ayudar en la identificación de riesgos y supervisar la implementación de los controles y medidas que finalmente se incluyan en el programa de compliance para mitigarlos o eliminarlos.
Determinar la probabilidad de que se materialicen los riesgos
El siguiente paso es proceder a analizar los riesgos que forman parte de nuestra lista. Este análisis de riesgos puede realizarse a través de diferentes metodologías, pero una de las más usadas es la basada en probabilidad e impacto.
Por lo tanto, el siguiente paso es determinar la probabilidad de que los riesgos identificados se materialicen y den lugar a un evento negativo. Por ejemplo, si uno de los riesgos detectados es cobrar en negro, uno de los eventos negativos que pueden derivarse de estos cobros es una inspección de Hacienda y una sanción administrativa o una multa para la empresa.
Para determinar la probabilidad crearemos una escala valorativa, de manera que podamos emplear valores cuantificables. Por ejemplo, la probabilidad se puede medir en niveles: «poco probable», «muy probable», «altamente probable».
Determinar el impacto para la empresa si el riesgo se materializa
El otro elemento de nuestro análisis de los riesgos es el impacto; aquí se trata de determinar el nivel de impacto que tendría para la empresa la materialización de cada riesgo. Para ello, recurriremos también a una escala valorativa, como, por ejemplo, «bajo», «alto», «grave» o «muy grave».
Siguiendo con el ejemplo de los cobros en B, la inspección y sanción de Hacienda podrían tener un impacto grave para la empresa en su conjunto y muy grave para su reputación.
Cuando se elabora el mapa de riesgos en base a probabilidad e impacto, lo más habitual es que los niveles de la primera se coloquen en el eje vertical y los de la segunda en el eje horizontal.
Definir los grados de tolerancia al riesgo
Cuando ya sabemos tanto la probabilidad como el impacto que cada riesgo identificado puede tener para la empresa, es el momento de determinar la tolerancia al riesgo, es decir, el «apetito de riesgo» de la empresa, que no es otra cosa que el nivel de riesgo que esta está dispuesta asumir.
Definir este apetito de riesgo es necesario para poder distribuir mejor los recursos destinados a la mitigación, detección y prevención de los riesgos, ya que se deben priorizar aquellos riesgos con mayor probabilidad de materialización y mayor nivel de impacto negativo para la empresa, es decir, los riesgos más críticos.
La decisión sobre qué nivel de riesgo es aceptable y asumible debe tomarla la dirección de la empresa, por lo que el mapa de riesgos compliance y el informe resultante del mismo, se les debe comunicar.
Cálculo del riesgo residual
Finalmente, ningún mapa de riesgos compliance está completo, sino se calcula el riesgo residual tras la aplicación de controles y medidas previstas en el plan de compliance para prevenir, mitigar y gestionar el riesgo.
El riesgo residual ya no es un riesgo teórico, sino real y debe dar lugar a un nuevo mapa de riesgos compliance, que refleje la efectividad del plan de compliance, es decir, debe mostrar un menor nivel de probabilidad e impacto que el primer mapa que realizamos. Si no es así, es que nuestro plan de compliance falla en algún sitio y es necesario corregirlo.
Los resultados del nuevo mapa de riesgos deben facilitarse también a la dirección, para que determine de manera adecuada el apetito de riesgos de la empresa.
Cabe señalar que para proceder con la evaluación periódica del programa de compliance de la empresa, será necesario realizar nuevos mapas de riesgos, como también habrá que hacerlos cuando se produzcan cambios significativos en la empresa o modificaciones legislativas que la afecten, ya que habrá que actualizar el programa de compliance.
Ejemplo de mapa de riesgos compliance
A continuación os dejamos un ejemplo de mapa de riesgos compliance.
Para hacer esta matriz de riesgos compliance hemos usado Excel, pero existen diferentes programas dedicados precisamente a realizar estos mapas de riesgos, que os facilitarán la labor.
En nuestro ejemplo nos hemos centrado en riesgos relacionados con la ciberseguridad y la protección de datos, que son riesgos relacionados con el compliance tecnológico. La empresa, una pyme que se dedica a una prestación de servicio online, ha identificado estos cuatro riesgos:
- R1: Sufrir un ciberataque
- R2: Filtración de datos
- R3: Pérdida de información
- R4: Interrupción de prestación de servicio
Además, su situación actual es que no tiene un departamento de IT ni un responsable de seguridad de la información. Sin embargo, cuenta con personal formado en protección de datos y ha adoptado medidas de seguridad técnicas y organizativas para proteger la confidencialidad de la información.
El mapa de riesgos compliance basado en estos datos quedaría así:
MAPA DE RIESGOS
| Probabilidad | |||||
|---|---|---|---|---|---|
| Altamente probable | |||||
| Muy probable | R1 | R4 | |||
| Probable | R2 | R3 | |||
| Poco probable | |||||
| Muy bajo | Bajo | Medio | Alto | Muy alto | |
| Impacto |
Como no hay un departamento o persona encargada de la ciberseguridad, el riesgo R1 es muy probable que ocurra, teniendo un impacto medio para la empresa. Sin embargo, al contar con conocimientos sobre protección de datos y tener implementadas medidas de seguridad, como puede ser el cifrado de las bases de datos de sus clientes, el R2, pese a que es probable que pase, su nivel de impacto sería bajo. El R4 es el riesgo de nivel más crítico, por su probabilidad de materialización y por el impacto que tendría para el funcionamiento normal de la empresa.
En base a las conclusiones extraídas del mapa y del análisis de los riesgos contemplados en él, la empresa deberá decidir qué medidas y controles debe incluir en su programa de compliance para mitigarlos o eliminarlos. Por ejemplo, para mitigar la probabilidad del R1 se podría contratar un experto en seguridad de la información; el impacto podría seguir siendo el mismo, pero la probabilidad de materialización sería menor. Lo mismo ocurriría con los riesgos R4 y R3.
En definitiva, no podemos hacer un programa o plan de compliance, sin hacer antes un mapa de riesgos de compliance.