Integrar riesgos corporativos y de cumplimiento: 5 buenas prácticas para optimizar la gestión
Integrar riesgos corporativos y de cumplimiento es una tarea que plantea serias dificultades. Uno de los obstáculos a salvar es el de la jerarquía, o mejor, la ausencia de ella. En la actualidad, algunos expertos consideran que la gestión de cumplimiento tendría que formar parte, y estar subordinada, a la gestión de riesgos corporativos.
Sin embargo, los profesionales en el área de compliance requieren independencia, incluso de su Alta Dirección, entre otras razones porque bajo esa premisa ha sido diseñado el estándar de cumplimiento ISO 37301 y el mismo marco regulatorio a nivel continental.
¿Cómo integrar riesgos corporativos y de cumplimiento, armonizando la gestión y sin crear conflictos? Entender que unos y otros son esenciales para la organización, y que la gestión de cumplimiento no tiene áreas, departamentos o niveles vedados para su control, es una buena forma de iniciar.
Después, adoptar estas buenas prácticas terminará de limar las asperezas.
Integrar riesgos corporativos y de cumplimiento – 5 buenas prácticas
La gestión de riesgos corporativos puede apoyar la gestión de cumplimiento, articularse con ella y trabajar en un esquema de colaboración, para el beneficio de una organización. Pero para que esto sea posible, será necesario observar estas 5 buenas prácticas:
1. Definir en conjunto el apetito de riesgo
La Alta Dirección, el Director del Área de Gestión de Riesgos y el Oficial de Cumplimiento son los llamados a alcanzar un consenso sobre el apetito de riesgo o tolerancia al riesgo, necesarios para alcanzar los objetivos de unos y de otros.
Es necesario trazar una línea que no se puede pasar, si no se desea exponer la organización a amenazas que están fuera de su control y que generarán un clima de incertidumbre.
Las partes mencionadas en esta reunión fijarán sus requisitos no negociables como criterio esencial para la definición del apetito de riesgo. Los controles propios de la gestión de cumplimiento, entre los que se destaca la debida diligencia, no admiten ningún tipo de discusión, aunque puedan ralentizar algunas operaciones comerciales.
2. Independencia en las evaluaciones de riesgos corporativos y de cumplimiento
Al integrar riesgos corporativos y de cumplimiento es necesario entender que las evaluaciones de riesgos deben conservar la debida independencia por tres razones: se persiguen objetivos diferentes, se consideran amenazas diferentes y, lo más importante, el marco regulatorio en Europa y en muchos países del mundo, así lo exige específicamente para la evaluación de riesgos de cumplimiento.
En estrados judiciales, ante una decisión en un proceso penal, los jueces considerarán la existencia de un Sistema de Gestión de Cumplimiento, pero también la evidencia de la eficacia de la evaluación de riesgos y de la independencia con que se ha efectuado. Independencia de otras evaluaciones de riesgo en la organización y de la misma Alta Dirección.
3. Identificar los riesgos comunes a monitorear
La gestión de riesgos corporativos y la de cumplimiento encontrarán, pese a la independencia establecida, que hay puntos comunes en los que se encontrarán. Los riesgos inherentes a la contratación de nuevos empleados, el cumplimiento de acuerdos o compromisos sobre Responsabilidad Social o la suscripción de créditos financieros con entidades del sector, son apenas una muestra de ello.
Retomando lo que comentamos al comienzo del artículo, la Gestión de Cumplimiento no tiene áreas vedadas en la organización. Sin embargo, es preciso que, en determinados temas, Compliance limite su acción a una supervisión y a alertar sobre la posibilidad de una infracción, para no obstaculizar el trabajo de la Gestión de Riesgos Corporativos. Lo contrario, también puede suceder.
4. Compliance debe reportar directamente a la Alta Dirección
Un conflicto recurrente que se genera al integrar riesgos corporativos y de cumplimiento, aparece cuando cada área asume la tarea de informar sobre la gestión de riesgos a la Alta Dirección.
Es preciso reiterar el concepto de independencia que, en términos regulatorios, se define para la Gestión de Cumplimiento, y que tiene alcance sobre la tarea de presentar informes a la Alta Dirección.
Pero hay una razón más para que Gestión de Compliance reporte directamente a la Alta Dirección: evitar la distorsión del mensaje que se quiere comunicar o que este carezca de la profundidad requerida.
5. Coordinar auditorías
Integrar riesgos corporativos y de cumplimiento no exime a la organización de la obligación de examinar, evaluar, inspeccionar o auditar por separado o en conjunto la gestión.
¿Cuál es la mejor opción? Es probable que el oficial de cumplimiento decida examinar su gestión con sus propios auditores. Pero la Gestión de Riesgos Corporativos puede optar por incluir la Gestión de Cumplimiento dentro de las auditorías internas de la organización.
Integrar riesgos corporativos y de cumplimiento, y hacerlo bien, sin duda contribuirá a alcanzar objetivos que redundarán en el bienestar financiero y operacional de la organización. La información inmediata y confiable será el factor definitivo para alcanzar los objetivos, lograr una integración exitosa y garantizar el cumplimiento en toda la organización que es, finalmente, la meta principal.
Software ISO 37301 de ISOTools
La Gestión de Compliance ofrece muchos beneficios, pero, para obtenerlos es preciso que muchas personas realicen tareas que pueden desbordar su capacidad de trabajo. La debida diligencia, por ejemplo, es una labor que consume mucho tiempo, pero que puede ser automatizada, al igual que otras propias de la Gestión de Cumplimiento, con una solución informática como el Software ISO 37301 de ISOTools.
Esta avanzada solución optimiza procesos, automatiza tareas, ofrece informes inmediatos y, en general, cuenta con las funcionalidades que facilitarán la tarea de integrar riesgos corporativos y de cumplimiento de forma óptima. Solicite más información sobre el software para asegurar el cumplimiento normativo y legal.
