La matriz o mapa de riesgos es una herramienta clave para la gestión adecuada de los riesgos de compliance o cumplimiento normativo. Te contamos cómo puedes hacer una.
Para realizar una adecuada gestión de riesgos es clave contar con una matriz de riesgos o mapa de riesgos, una herramienta que ayuda a facilitar este proceso en las empresas pues, entre otras ventajas, permite visualizar de una mejor manera los riesgos identificados a los que está expuesta la organización, así como a cuantificarlos y a definir los controles requeridos para mitigar tanto su probabilidad de ocurrencia o su impacto en caso de materializarse.
De acuerdo a la frecuencia e impacto que se le asigne a cada uno de los riesgos identificados, estos tendrán un nivel de criticidad que sirve para darle prioridad a unos riesgos sobre otros, es decir, poner en marcha acciones que permitan controlar aquellos que son más urgentes (por ejemplo, nivel crítico) por encima de los que no lo son tanto (por ejemplo, nivel bajo), aunque estos últimos también hay que tenerlos presente y no olvidarlos.
Esta matriz o mapa de riesgos puede implementarse en cualquier sistema de gestión, incluido el Sistema de Gestión de Compliance, que tiene como principal objetivo ayudar a las empresas a cumplir las leyes y normas vigentes que le son aplicables según su actividad, al igual que los códigos éticos y estándares internos que han definido previamente para guiar el buen comportamiento de sus miembros.
En este ebook te contaremos más sobre la importancia de elaborar una matriz de riesgos para la gestión de riesgos de compliance, los pasos a seguir para hacer esta matriz de la manera adecuada y que realmente sea de utilidad. Por último, te compartiremos algunas recomendaciones puntuales sobre el sistema de compliance o cumplimiento normativo.
Todas las empresas, independiente del sector al que pertenezcan, deben cumplir con diferentes leyes, normas y regulaciones que son emitidas por los gobiernos y entes regulatorios de cada país, como lo son por ejemplo las superintendencias de industria y comercio o las superintendencias de sociedades.
Y si bien cada una de las normativas tiene un objetivo específico (regular el libre mercado, evitar el lavado de dinero y la corrupción, proteger y hacer uso adecuado de los datos personales de los usuarios, entre muchas otras), en general estas estas buscan que las empresas actúen de forma legal, no cometan delitos y que sus actividades productivas generen verdaderos beneficios y no afecten negativamente al mercado y a la sociedad.
Es por esto que es importante cumplirlas y gestionar los riesgos de compliance, hacerlo le garantiza a la empresa actuar en un marco de legalidad y evitar así posibles responsabilidades penales, que además podrían significar sanciones, multas y, por supuesto, una afectación a la buena reputación.
Y para que la gestión de los riesgos de compliance sea la adecuada, tal como ocurre con otros riesgos (operacionales, de seguridad de la información, de seguridad y salud en el trabajo, de lavado de dinero, etc.) es fundamental, como primer paso, construir una matriz o mapa de riesgos. De hecho, según la norma ISO 37301, que en el año 2021 sustituyó a la norma ISO 19600, esta matriz hace parte de la planificación para implementar el Sistema de Gestión de Compliance.
La matriz de riesgos de compliance sirve para tener en una sola herramienta todos los riesgos asociados al no cumplimiento a los que está expuesta la organización. Esta matriz o mapa, que es muy visual, es importante porque permite a cada empresa construir un programa de gestión de compliance que se ajuste a los riesgos que pueden materializarse por no cumplir las diferentes normativas externas o internas que le son aplicables.
Igualmente, gracias a esta matriz de riesgos, la empresa puede definir y tomar decisiones estratégicas sobre qué tipo de controles y medidas debe implementar para poder prevenir o mitigar los riesgos asociados al incumplimiento de normas y requisitos legales.
Luego de tener claro para qué sirve construir una matriz o mapa de riesgos de compliance, veamos ahora cuáles son los pasos a tener en cuenta para hacerla y con base en esta, poder desarrollar un programa de gestión de compliance sólido que se adapte por completo a la realidad y modelo de negocio de cada empresa.
Lo primero que debe hacerse para construir una matriz de riesgos de compliance es identificar y definir cuáles son los riesgos que pueden afectar a la organización por no cumplir con las normativas y regulaciones que le son aplicables.
La recomendación es crear una lista con cada uno de los riesgos identificados y para hacerlo, se deben tener en cuenta aspectos claves de la organización: su contexto, la actividad que realiza, su ubicación geográfica, su estructura organizacional, las leyes y normativas que debe cumplir, etc.
Con base en toda esta información se puede crear la lista de riesgos, pero también es recomendable que la persona o área responsable de construir la matriz de riesgos de compliance realice entrevistas a los responsables de las diferentes áreas de la empresa para de esta forma lograr mayor claridad y un conocimiento más completo de todos los procesos que se llevan a cabo y en qué casos se podría incurrir en el incumplimiento de alguna ley, norma, regulación o, incluso, del código de conducta.
Este primer paso es fundamental hacerlo con rigurosidad y recopilar toda la información que sea necesaria, pues así se podrá lograr una matriz o mapa de riesgos verdaderamente útil y que refleje y se ajuste a la realidad de la empresa.
Después de identificar y definir los riesgos asociados al cumplimiento, el siguiente paso es asignarles un responsable. Sí, es importante que cada uno de estos riesgos pueda estar asociado a una área específica de la organización y tener un responsable que se encargue de supervisar que los controles y acciones que se definan para su mitigación sí se cumplan.
Adicionalmente, los responsables de los riesgos deben apoyar a los oficiales de cumplimiento, o a quien cumpla este rol en la empresa, en la gestión adecuada de los riesgos de compliance, es decir, así como velan por la ejecución y cumplimiento de los controles, deben informar y comunicar oportunamente cuando algo no esté funcionando y puede favorecer la materialización de uno de los riesgos por incumplimiento normativo.
En otras palabras, el responsable de los riesgos debe trabajar muy de la mano con el oficial de cumplimiento de la empresa.
Este paso es uno de los más importantes para la construcción de la matriz o mapa de riesgos de compliance y consiste en establecer objetivamente cuál es la probabilidad de que los riesgos previamente identificados se materialicen y causen un evento negativo para la organización.
Para determinar la probabilidad de ocurrencia de cada riesgo se debe utilizar una escala valorativa y cuantificable que permita establecer un valor específico para cada uno. La empresa puede usar una escala de tres, de cinco o de más valores para darle una calificación a los riesgos. Por ejemplo, se pueden considerar valores como:
Aquí entonces lo que se hace es darle a cada uno de los riesgos que se tienen en la lista (paso 1) una valoración según la escala definida por la organización para determinar la probabilidad de ocurrencia.
Un ejemplo de esto puede ser: una empresa del sector textil define que el incumplimiento de regulaciones ambientales tiene una probabilidad de ocurrencia “posible”, es decir, una valoración 2. Otra empresa podría calificar la probabilidad de ocurrencia de este mismo riesgo con otra valoración (1, 3, 4 o 5). Como vimos, todo depende mucho del contexto y la realidad de cada organización.
Por otro lado, hay que tener en cuenta que la probabilidad de ocurrencia de los riesgos se debe ubicar en el eje Y (vertical) de un plano cartesiano.
Luego de determinar cuál es la probabilidad de ocurrencia de cada uno de los riesgos, el siguiente paso es definir el nivel de impacto que cada uno de estos podría causar a la organización si se llegan a materializar. Es importante considerar dos aspectos claves: afectaciones económicas por posibles multas o sanciones, y el riesgo reputacional.
Para definir el impacto, igual que en el paso anterior, se debe utilizar una escala valorativa y cuantificable para establecer un valor específico para cada uno. Si se utiliza una escala de cinco valores, se pueden considerar estas variables:
Siguiendo con el ejemplo anterior de la empresa del sector textil y el riesgo de incumplimiento de regulaciones ambientales, esta define que el impacto de este riesgo es “alto”, es decir, una valoración 4. Para otra empresa el impacto podría ser menor o mayor, según su contexto y realidad empresarial.
Adicional, hay que tener presente que el impacto de los riesgos debe ubicarse en el eje X (horizontal) de un plano cartesiano. Y al multiplicar la probabilidad * el impacto se tendrá el nivel de riesgo inherente y se podrá ubicar en la matriz o mapa de riesgos.
Para una mejor visualización y lectura de esta matriz de riesgos, la recomendación es utilizar para cada nivel de riesgo diferentes colores, por ejemplo:
Esta codificación permite a la organización, entre otras cosas, saber con claridad cuáles son los riesgos de incumplimiento de mayor importancia o urgencia, es decir, a los que debe prestar atención de forma prioritaria y destinar más recursos. Y, sin duda, sirve para el siguiente paso.
Una vez se haya ubicado todos los riesgos en la matriz o mapa de riesgos de compliance, lo siguiente que debe hacerse es establecer los controles y las medidas a ejecutar para, por un lado, prevenir la materialización de los riesgos de incumplimiento y, por otro lado, mitigar su impacto si llegan a ocurrir.
Los controles que se definan, que pueden ser preventivos, detectivos o correctivos, según la efectividad que tengan servirán para disminuir el nivel de riesgo, es decir, que el riesgo pase de tener un valor a otro valor, es lo que se conoce como riesgo residual y por ende, podría llegar a ubicarse en otro nivel o casilla de la matriz de riesgos.
Ahora que ya sabes cuáles son los pasos a seguir para construir una matriz de riesgos de compliance, a continuación te compartimos algunas recomendaciones adicionales para que tengas en cuenta no solo para la construcción de esta matriz sino también para toda la gestión de riesgos de compliance en tu organización.
Con Pirani y nuestro sistema de cumplimiento normativo ayudamos a las empresas a construir una cultura de cumplimiento sólida, consolidar la confianza y credibilidad de sus grupos de interés y generar competitividad en el mercado gracias a la gestión adecuada de los riesgos de compliance.
Conoce más sobre cómo podemos ayudarte a hacer de la gestión del cumplimiento normativo de tu empresa un proceso más fácil.
Solicita ayuda aquí si eres cliente →
Somos Pirani → 
