El cumplimiento y la gestión de riesgos es el proceso de seguir o cumplir con todas las leyes, regulaciones, reglas y estándares aplicables que se aplican a la empresa. El cumplimiento se garantiza a través del diseño, desarrollo e implementación de políticas, procesos y procedimientos. La gerencia desarrolla dichas políticas, procesos y procedimientos bajo la supervisión de la Junta Directiva.
El objetivo es garantizar que todas las leyes, reglas, reglamentos y normas aplicables sean cumplidos en letra y espíritu por todos los empleados. El cumplimiento normativo es un área de tolerancia cero porque los principios se relacionan con el trato justo con los clientes y el mantenimiento de la transparencia corporativa para retener la confianza de los clientes y el crecimiento de la economía.
El riesgo de cumplimiento es el riesgo de incumplimiento de las leyes, regulaciones, reglas y estándares aplicables que pueden conducir a las sanciones impuestas por los reguladores.
La empresa debe gestionar el riesgo de cumplimiento como parte de las actividades generales de gestión de riesgos. Se deben diseñar e implementar recursos suficientes y controles internos para garantizar que los empleados cumplan con los requisitos reglamentarios y de políticas.
Comprender el cumplimiento y la gestión de riesgos
La comprensión del cumplimiento implica que una empresa organiza sus procesos, y en caso de violaciones de los requisitos reglamentarios aplicables, el regulador puede encontrar a la empresa o revocar su licencia. Sin embargo, en los últimos años, la comprensión del cumplimiento se ha complementado con la adhesión a los principios morales y éticos consagrados en el código de conducta de la empresa. El regulador no impone una multa por violaciones de los requisitos reglamentarios aplicables.
Aún así, las pérdidas pueden ser tan sustanciales que inevitablemente conducen a pérdidas financieras y de reputación. Cada violación de este tipo es un riesgo potencial que puede llevar a consecuencias negativas para la actividad de una empresa. Estos riesgos dependerán de una empresa específica, por lo que las posibles consecuencias diferirán. Sin embargo, los riesgos pueden ser gestionados.
El regulador alemán impuso una multa al minorista H&M de 35 millones de euros por recopilar y almacenar información sobre la salud, la vida privada y las creencias religiosas de varios cientos de empleados. La investigación duró casi un año. Los investigadores concluyeron que esta práctica había existido en la empresa desde 2014 y se utilizó para tomar decisiones de personal.
Además de la multa, la empresa se vio obligada a pagar una compensación a los empleados cuyos datos fueron recopilados y almacenados en el servidor interno. Este caso demuestra consecuencias para las empresas a las que puede conducir una violación del cumplimiento externo en términos de protección de datos personales y cumplimiento interno con respecto a aquellos principios a los que la empresa se comprometió a adherirse en su actividad.
Un riesgo consta de dos partes:
- Consecuencias significa el alcance de las pérdidas en caso de un evento negativo
- Probabilidad que muestra cuán probable es la ocurrencia de un evento negativo en una cierta perspectiva. Por ejemplo, un ataque al almacén de una empresa por parte de un ejército zombi puede tener consecuencias significativas. Aún así, la probabilidad de tal evento en el corto plazo es tan baja que este riesgo es irrelevante. Al mismo tiempo, la interrupción de las cadenas logísticas de suministro de materias primas también tiene consecuencias significativas pero ya una probabilidad media, lo que hace que este riesgo sea más relevante.
Los riesgos de incumplimiento pueden surgir en un número significativo de áreas de la ley, pero la mayoría de las veces, los riesgos altos ocurren en áreas tales como:
- legislación anticorrupción,
- legislación antimonopolio y protección de la competencia,
- Legislación laboral,
- Blanqueo de dinero
- Legislación fiscal,
- Protección de datos personales,
- Control de las exportaciones, y
- Legislación ambiental.
Es por eso que la gestión de riesgos para una empresa debe comenzar con estas áreas. La evaluación de riesgos es una herramienta para aumentar la eficacia de la introducción del cumplimiento. Sin una evaluación y análisis de riesgos, una empresa puede establecer prioridades equivocadas, implementar medidas ineficaces e ignorar los altos riesgos de cumplimiento. Idealmente, el análisis de riesgo de cumplimiento debería realizarse al comienzo de la introducción del cumplimiento, pero en la práctica, no funciona. Con la implementación de un enfoque basado en el riesgo, especialmente en caso de un evento negativo, la empresa podrá apelar al hecho de que ha realizado esfuerzos suficientes para evitar el riesgo de cumplimiento.
Reflexiones finales
La detección, el análisis y el control de las amenazas financieras, legales, estratégicas y de seguridad para los objetivos estratégicos de una organización se conoce como gestión de riesgos. Estas amenazas o peligros pueden surgir de una variedad de fuentes, incluida la inseguridad financiera, la responsabilidad legal, las fallas de gestión estratégica, los accidentes o los desastres naturales.
Los riesgos de cumplimiento siguen siendo una preocupación importante para cualquier organización grande. Esto es especialmente cierto para industrias altamente reguladas como la salud o la banca, así como para las empresas que cotizan en bolsa que están sujetas a una amplia protección de los inversores y leyes de valores.
