Matriz de riesgos de Compliance: pasos y recomendaciones

La matriz o mapa de riesgos es una herramienta clave para la gestión adecuada de los riesgos de compliance o cumplimiento normativo. Te contamos cómo puedes hacer una. 

Introducción

Para realizar una adecuada gestión de riesgos es clave contar con una matriz de riesgos o mapa de riesgos, una herramienta que ayuda a facilitar este proceso en las empresas pues, entre otras ventajas, permite visualizar de una mejor manera los riesgos identificados a los que está expuesta la organización, así como a cuantificarlos y a definir los controles requeridos para mitigar tanto su probabilidad de ocurrencia o su impacto en caso de materializarse.

De acuerdo a la frecuencia e impacto que se le asigne a cada uno de los riesgos identificados, estos tendrán un nivel de criticidad que sirve para darle prioridad a unos riesgos sobre otros, es decir, poner en marcha acciones que permitan controlar aquellos que son más urgentes (por ejemplo, nivel crítico) por encima de los que no lo son tanto (por ejemplo, nivel bajo), aunque estos últimos también hay que tenerlos presente y no olvidarlos. 

Esta matriz o mapa de riesgos puede implementarse en cualquier sistema de gestión, incluido el Sistema de Gestión de Compliance, que tiene como principal objetivo ayudar a las empresas a cumplir las leyes y normas vigentes que le son aplicables según su actividad, al igual que los códigos éticos y estándares internos que han definido previamente para guiar el buen comportamiento de sus miembros. 

En este ebook te contaremos más sobre la importancia de elaborar una matriz de riesgos para la gestión de riesgos de compliance, los pasos a seguir para hacer esta matriz de la manera adecuada y que realmente sea de utilidad. Por último, te compartiremos algunas recomendaciones puntuales sobre el sistema de compliance o cumplimiento normativo. 

matriz-riesgos-compliance

Matriz de riesgos de compliance

Todas las empresas, independiente del sector al que pertenezcan, deben cumplir con diferentes leyes, normas y regulaciones que son emitidas por los gobiernos y entes regulatorios de cada país, como lo son por ejemplo las superintendencias de industria y comercio o las superintendencias de sociedades. 

Y si bien cada una de las normativas tiene un objetivo específico (regular el libre mercado, evitar el lavado de dinero y la corrupción, proteger y hacer uso adecuado de los datos personales de los usuarios, entre muchas otras), en general estas estas buscan que las empresas actúen de forma legal, no cometan delitos y que sus actividades productivas generen verdaderos beneficios y no afecten negativamente al mercado y a la sociedad. 

Es por esto que es importante cumplirlas y gestionar los riesgos de compliance, hacerlo le garantiza a la empresa actuar en un marco de legalidad y evitar así posibles responsabilidades penales, que además podrían significar sanciones, multas y, por supuesto, una afectación a la buena reputación.

Y para que la gestión de los riesgos de compliance sea la adecuada, tal como ocurre con otros riesgos (operacionales, de seguridad de la información, de seguridad y salud en el trabajo, de lavado de dinero, etc.) es fundamental, como primer paso, construir una matriz o mapa de riesgos. De hecho, según la norma ISO 37301, que en el año 2021 sustituyó a la norma ISO 19600, esta matriz hace parte de la planificación para implementar el Sistema de Gestión de Compliance. 

¿Cuál es la utilidad de la matriz de riesgos de compliance?

La matriz de riesgos de compliance sirve para tener en una sola herramienta todos los riesgos asociados al no cumplimiento a los que está expuesta la organización. Esta matriz o mapa, que es muy visual, es importante porque permite a cada empresa  construir un programa de gestión de compliance que se ajuste a los riesgos que pueden materializarse por no cumplir las diferentes normativas externas o internas que le son aplicables. 

Igualmente, gracias a esta matriz de riesgos, la empresa puede definir y tomar decisiones estratégicas sobre qué tipo de controles y medidas debe implementar para poder prevenir o mitigar los riesgos asociados al incumplimiento de normas y requisitos legales.

Pasos para hacer una matriz de riesgos de compliance

Luego de tener claro para qué sirve construir una matriz o mapa de riesgos de compliance, veamos ahora cuáles son los pasos a tener en cuenta para hacerla y con base en esta, poder desarrollar un programa de gestión de compliance sólido que se adapte por completo a la realidad y modelo de negocio de cada empresa. 

pasos-matriz-riesgos-compliance

1. Identificar / definir los riesgos de incumplimiento

Lo primero que debe hacerse para construir una matriz de riesgos de compliance es identificar y definir cuáles son los riesgos que pueden afectar a la organización por no cumplir con las normativas y regulaciones que le son aplicables. 

La recomendación es crear una lista con cada uno de los riesgos identificados y para hacerlo, se deben tener en cuenta aspectos claves de la organización: su contexto, la actividad que realiza, su ubicación geográfica, su estructura organizacional, las leyes y normativas que debe cumplir, etc. 

Con base en toda esta información se puede crear la lista de riesgos, pero también es recomendable que la persona o área responsable de construir la matriz de riesgos de compliance realice entrevistas a los responsables de las diferentes áreas de la empresa para de esta forma lograr mayor claridad y un conocimiento más completo de todos los procesos que se llevan a cabo y en qué casos se podría incurrir en el incumplimiento de alguna ley, norma, regulación o, incluso, del código de conducta. 

Este primer paso es fundamental hacerlo con rigurosidad y recopilar toda la información que sea necesaria, pues así se podrá lograr una matriz o mapa de riesgos verdaderamente útil y que refleje y se ajuste a la realidad de la empresa.

2. Asignar responsables para los riesgos

Después de identificar y definir los riesgos asociados al cumplimiento, el siguiente paso es asignarles un responsable. Sí, es importante que cada uno de estos riesgos pueda estar asociado a una área específica de la organización y tener un responsable que se encargue de supervisar que los controles y acciones que se definan para su mitigación sí se cumplan. 

Adicionalmente, los responsables de los riesgos deben apoyar a los oficiales de cumplimiento, o a quien cumpla este rol en la empresa, en la gestión adecuada de los riesgos de compliance, es decir, así como velan por la ejecución y cumplimiento de los controles, deben informar y comunicar oportunamente cuando algo no esté funcionando y puede favorecer la materialización de uno de los riesgos por incumplimiento normativo. 

En otras palabras, el responsable de los riesgos debe trabajar muy de la mano con el oficial de cumplimiento de la empresa.

3. Determinar la probabilidad de ocurrencia del riesgo de incumplimiento

Este paso es uno de los más importantes para la construcción de la matriz o mapa de riesgos de compliance y consiste en establecer objetivamente cuál es la probabilidad de que los riesgos previamente identificados se materialicen y causen un evento negativo para la organización. 

Para determinar la probabilidad de ocurrencia de cada riesgo se debe utilizar una escala valorativa y cuantificable que permita establecer un valor específico para cada uno. La empresa puede usar una escala de tres, de cinco o de más valores para darle una calificación a los riesgos. Por ejemplo, se pueden considerar valores como:

  • Poco probable (1): la probabilidad de que ocurra un riesgo de incumplimiento es muy baja, casi nula.
  • Posible (2): la probabilidad de que ocurra un riesgo de incumplimiento es baja, aunque puede presentarse.
  • Ocasional (3): el riesgo de incumplimiento puede materializarse en algún momento.
  • Muy probable (4): la materialización del riesgo de incumplimiento es alta.
  • Altamente probable (5): la probabilidad de ocurrencia del riesgo de incumplimiento es muy alta.

Aquí entonces lo que se hace es darle a cada uno de los riesgos que se tienen en la lista (paso 1) una valoración según la escala definida por la organización para determinar la probabilidad de ocurrencia.

Un ejemplo de esto puede ser: una empresa del sector textil define que el incumplimiento de regulaciones ambientales tiene una probabilidad de ocurrencia “posible”, es decir, una valoración 2. Otra empresa podría calificar la probabilidad de ocurrencia de este mismo riesgo con otra valoración (1, 3, 4 o 5). Como vimos, todo depende mucho del contexto y la realidad de cada organización.

Por otro lado, hay que tener en cuenta que la probabilidad de ocurrencia de los riesgos se debe ubicar en el eje Y (vertical) de un plano cartesiano.

4. Determinar el impacto del riesgo de incumplimiento

Luego de determinar cuál es la probabilidad de ocurrencia de cada uno de los riesgos, el siguiente paso es definir el nivel de impacto que cada uno de estos podría causar a la organización si se llegan a materializar. Es importante considerar dos aspectos claves: afectaciones económicas por posibles multas o sanciones, y el riesgo reputacional. 

Para definir el impacto, igual que en el paso anterior, se debe utilizar una escala valorativa y cuantificable para establecer un valor específico para cada uno. Si se utiliza una escala de cinco valores, se pueden considerar estas variables:

  • Muy bajo (1): el riesgo de incumplimiento no representa un problema para la organización.
  • Bajo (2): el riesgo de incumplimiento causa un impacto mínimo.
  • Medio (3): el riesgo de incumplimiento puede causar un impacto moderado.
  • Alto (4): el riesgo de incumplimiento causa impactos importantes para la organización.
  • Muy alto (5): el riesgo de incumplimiento genera impactos graves que pueden afectar la continuidad y buena reputación de la organización.

Siguiendo con el ejemplo anterior de la empresa del sector textil y el riesgo de incumplimiento de regulaciones ambientales, esta define que el impacto de este riesgo es “alto”, es decir, una valoración 4. Para otra empresa el impacto podría ser menor o mayor, según su contexto y realidad empresarial. 

Adicional, hay que tener presente que el impacto de los riesgos debe ubicarse en el eje X (horizontal) de un plano cartesiano. Y al multiplicar la probabilidad * el impacto se tendrá el nivel de riesgo inherente y se podrá ubicar en la matriz o mapa de riesgos.

Para una mejor visualización y lectura de esta matriz de riesgos, la recomendación es utilizar para cada nivel de riesgo diferentes colores, por ejemplo: 

  • Verde: nivel de riesgo muy bajo.
  • Amarillo: nivel de riesgo bajo.
  • Naranja: nivel de riesgo medio o moderado.
  • Rojo: nivel de riesgo alto o muy alto. 

Esta codificación permite a la organización, entre otras cosas, saber con claridad cuáles son los riesgos de incumplimiento de mayor importancia o urgencia, es decir, a los que debe prestar atención de forma prioritaria y destinar más recursos. Y, sin duda, sirve para el siguiente paso.

ejemplo-matriz-riesgos-compliance

5. Establecer controles

Una vez se haya ubicado todos los riesgos en la matriz o mapa de riesgos de compliance, lo siguiente que debe hacerse es establecer los controles y las medidas a ejecutar para, por un lado, prevenir la materialización de los riesgos de incumplimiento y, por otro lado, mitigar su impacto si llegan a ocurrir. 

Los controles que se definan, que pueden ser preventivos, detectivos o correctivos, según la efectividad que tengan servirán para disminuir el nivel de riesgo, es decir, que el riesgo pase de tener un valor a otro valor, es lo que se conoce como riesgo residual y por ende, podría llegar a ubicarse en otro nivel o casilla de la matriz de riesgos.  

Recomendaciones adicionales

Ahora que ya sabes cuáles son los pasos a seguir para construir una matriz de riesgos de compliance, a continuación te compartimos algunas recomendaciones adicionales para que tengas en cuenta no solo para la construcción de esta matriz sino también para toda la gestión de riesgos de compliance en tu organización.

  • Actualizar frecuentemente la matriz de riesgos de compliance. Esta herramienta debe ser vista como un elemento vivo, que evoluciona y que responde a la realidad de la empresa y su entorno, por eso, debe ser revisada y actualizada periódicamente pues cada vez hay más leyes, normativas o cambios que pueden ser de obligatorio cumplimiento para la organización. 

  • Conocer y estar al día sobre las nuevas leyes, normativas, regulaciones y demás que la empresa esté obligada a cumplir. Hacerlo evita caer en incumplimientos por falta de conocimiento e información y esto, por supuesto, puede significar sanciones. 

  • Contar con un Sistema de Gestión de Compliance ayuda a la empresa a actuar en todo momento de manera legal, preservar su integridad, su buena reputación y a evitar multas o sanciones que pueden afectar sus finanzas e incluso su continuidad. 

  • Desarrollar un programa de compliance que sea claro, preciso y eficaz, además, es recomendable que esté alineado con los otros sistemas de gestión de riesgos de la empresa, así como con los objetivos estratégicos y la visión de la alta dirección.
    Por eso, al igual que con los demás sistemas, debe contar con el apoyo y compromiso de toda la organización: todos los empleados deben estar debidamente informados sobre la importancia de cumplir con este programa. 

  • Utilizar herramientas tecnológicas que faciliten la gestión de los riesgos de cumplimiento y ayuden a garantizar el cumplimiento de leyes, normativas y regulaciones que son obligatorias para la organización. 

Con Pirani y nuestro sistema de cumplimiento normativo ayudamos a las empresas a construir una cultura de cumplimiento sólida, consolidar la confianza y credibilidad de sus grupos de interés y generar competitividad en el mercado gracias a la gestión adecuada de los riesgos de compliance.

Conoce más sobre cómo podemos ayudarte a hacer de la gestión del cumplimiento normativo de tu empresa un proceso más fácil.

matriz-riesgos-compliance

Referencia bibliográfica

    1. Idealex Press. Compliance: la elaboración de la matriz de riesgos como herramienta de un modelo de prevención de delitos
    2. EALDE Business School. 5 pasos para hacer un mapa de riesgos en Compliance
    3. Diario Jurídico. Matriz de riesgos. Pieza elemental de los programas de compliance penal
    4. El Comercio. 5 consejos para implementar con éxito un programa de ‘compliance’
    5. Asesorías.com. Cómo elaborar un mapa de riesgos compliance

Prueba gratis Pirani

Y conoce cómo podemos ayudarte a hacer de la gestión de riesgos en tu organización un proceso más simple y eficiente.

 

 

Crea tu cuenta gratis