Análisis y gestión de riesgos:
una herramienta esencial para el cumplimiento corporativo
Maestría en Cumplimiento Corporativo
Ofrece una formación completa que incluye habilidades técnicas y también directivas: diseño de controles internos, comunicación estratégica, cultura de integridad y liderazgo en equipos multidisciplinarios.
Por Mercedes Carbonell Peláez
Las empresas operan en entornos que son cada vez más complejos: están sujetas a regulaciones en constante actualización, cambios tecnológicos importantes y mayores exigencias por parte de varios actores como clientes, autoridades y personas trabajadoras. En este contexto, el cumplimiento corporativo o compliance debe asumir un papel proactivo, orientado a anticipar y prevenir posibles incumplimientos, en lugar de limitarse a verificar la existencia de políticas internas o reaccionar cuando una infracción ya se ha producido.
Para cumplir con esta función preventiva, un programa de cumplimiento eficaz debe permitir que la organización identifique de manera anticipada las situaciones que podrían generar consecuencias negativas, como incumplimientos legales, pérdidas económicas, afectaciones operativas o daños reputacionales. Una de las herramientas centrales para lograrlo es el análisis y la gestión de riesgos.
¿Qué es el análisis de riesgos?
El análisis de riesgos es el proceso mediante el cual una organización identifica cualquier tipo de circunstancia que impida el cumplimiento de sus obligaciones y objetivos. La finalidad de este tipo de análisis es conocer a qué riesgos está expuesta la empresa, cómo y con qué probabilidad podrían materializarse y cuáles serían sus posibles consecuencias.
Es importante tener en consideración que, si bien hay riesgos compartidos o comunes entre sectores, el análisis no debe hacerse de forma genérica o igual para todas las empresas. Cada organización debe evaluar sus riesgos de manera contextualizada de acuerdo con su tamaño, sector, actividades, ubicación, estructura interna, número de personas trabajadoras, tipo de clientes, relación con autoridades y participación de proveedores, intermediarios u otros terceros, entre otros.
Por ejemplo, una empresa que participa constantemente en procedimientos de contratación pública puede tener una mayor exposición a riesgos de corrupción y conflictos de interés. En cambio, una organización que administra grandes cantidades de información personal deberá prestar especial atención a la protección de datos, la ciberseguridad y el acceso indebido a sus sistemas.
¿Qué es la gestión de riesgos?
La gestión de riesgos es la otra cara de la moneda que acompaña el análisis de riesgos. Es el conjunto de decisiones y medidas que adopta una organización para prevenir, reducir, controlar o atender los riesgos identificados. Mientras que el análisis permite conocer y dimensionar las amenazas, la estrategia que se aplica como parte de gestión determina qué debe hacerse frente a dichas amenazas.
Ahora bien, no todos los riesgos pueden eliminarse por completo. Pero eso no implica que la gestión de riesgos trate de reducirlos al máximo, estableciendo controles razonables y proporcionales que reduzcan tanto la probabilidad de que ocurra un incumplimiento como la gravedad de sus consecuencias.
Estos controles pueden consistir en políticas internas, procedimientos de autorización, mecanismos de supervisión, capacitaciones, canales de denuncia, auditorías, cláusulas contractuales, controles financieros o protocolos para investigar irregularidades. La medida seleccionada debe responder directamente al riesgo identificado.
¿Por qué es importante analizar y gestionar los riesgos?
El análisis y gestión de riesgos es una actividad imprescindible en cualquier empresa por varias razones. Primero, permite que el programa de cumplimiento se construya a partir de las necesidades reales de la organización y no de consideraciones genéricas. Segundo, eficiente el uso de los recursos disponibles porque permite determinar prioridades de atención según la probabilidad de que determinado riesgo se materialice, el nivel de impacto que puede tener y la tolerancia de la empresa al mismo. Tercero, transforma el cumplimiento en una actividad preventiva. Cuarto, contar con un sistema documentado de identificación, evaluación y atención de riesgos puede demostrar que la organización ha actuado con diligencia. Quinto, una adecuada gestión de riesgos contribuye a proteger la continuidad de las operaciones. Finalmente, fortalece la confianza de clientes, inversionistas, personas trabajadoras, autoridades y socios comerciales.
¿Cómo se evalúan los riesgos?
Una vez identificados, debe establecerse el nivel de cada riesgo. Esto se evalúa a partir de dos elementos principales: la probabilidad de que ocurra y el impacto que produciría. La probabilidad se refiere a la posibilidad de que una conducta o acontecimiento se materialice dentro de la organización. El impacto corresponde a la gravedad de las consecuencias que podría generar el riesgo. Con esta información, después será posible determinar las prioridades de atención.
¿Qué tipos básicos de riesgos se evalúan?
- Riesgos legales y regulatorios
- Riesgos de responsabilidad penal como corrupción, fraude y conflictos de interés
- Riesgos laborales
- Riesgos operativos
- Riesgos financieros y fiscales
- Riesgos de protección de datos y ciberseguridad
- Riesgos relacionados con terceros
- Riesgos reputacionales