El cumplimiento y la gestión de riesgos tienen sus conceptos. El regulador alemán impuso una multa de 35 millones de euros al minorista H&M por recopilar y almacenar información sobre la vida privada, la salud y las creencias religiosas de varios cientos de empleados. La investigación duró un año, y los investigadores concluyeron que esta práctica había existido en la empresa desde 2014 y se utilizó para tomar decisiones de personal. Además de la multa, la empresa se vio obligada a pagar una compensación significativa a los empleados cuyos datos se recopilaron y almacenaron en el servidor interno.
Este caso demuestra consecuencias para las empresas a las que puede conducir una violación del cumplimiento externo en términos de protección de datos personales y cumplimiento interno, en relación con aquellos principios a los que la empresa se comprometió a adherirse en su actividad. En este caso, el cumplimiento legal resultó estar estrechamente relacionado con los principios morales y éticos.
La comprensión clásica del cumplimiento implica que una empresa organiza sus actividades. En caso de violación de estos requisitos, el regulador nacional puede multar a la empresa o revocar su licencia. Sin embargo, en los últimos años, la adhesión a los principios morales y éticos consagrados en el código de conducta de la empresa complementa la comprensión del cumplimiento. El regulador no impone una multa por las violaciones de estos principios, pero las pérdidas de reputación pueden ser tan significativas que inevitablemente conducirán a pérdidas financieras.
Cada violación de este tipo es un riesgo potencial que puede llevar a consecuencias negativas para la actividad de una empresa. Estos riesgos dependerán de una empresa específica, por lo que las posibles consecuencias serán diferentes.
Cumplimiento y gestión de riesgos: evaluación de riesgos
En esencia, un riesgo consta de dos partes:
- Consecuencias que significa cuál será el alcance de las pérdidas en caso de un evento negativo.
- Probabilidad que significa qué tan probable es la ocurrencia de un evento negativo.
Por ejemplo, un ataque al almacén de una empresa por parte de un ejército zombi puede tener consecuencias significativas. Aún así, la probabilidad de tal evento en el corto plazo es tan baja que este riesgo es irrelevante. Al mismo tiempo, la interrupción de las cadenas logísticas de suministro de materias primas también tiene consecuencias significativas pero ya una probabilidad media, lo que hace que este riesgo sea más relevante.
Los riesgos de incumplimiento pueden surgir en un número significativo de áreas de la ley, pero la mayoría de las veces, los riesgos altos ocurren en áreas tales como:
- Legislación anticorrupción
- Legislación antimonopolio y protección de la competencia
- Legislación laboral
- Blanqueo de dinero
- Legislación fiscal
- Protección de datos personales
- Control de las exportaciones
- Legislación medioambiental
Es por eso que la evaluación de riesgos para una empresa debe comenzar con estas áreas. En primer lugar, una evaluación es una herramienta para aumentar la eficacia de la introducción del cumplimiento. Sin el conocimiento de los riesgos más relevantes y las posibles consecuencias negativas, es difícil responder a la pregunta sobre el uso adecuado de los recursos destinados a la gestión de riesgos. Además, sin un análisis de riesgos, una empresa establece prioridades equivocadas, implementa medidas ineficaces y puede ignorar por completo los riesgos potencialmente altos.
Idealmente, este análisis debería realizarse al comienzo de la introducción del cumplimiento en la empresa, pero en la práctica, no funciona. Sin embargo, incluso en este caso, la implementación de un enfoque orientado al riesgo puede tener un efecto, especialmente en el caso de un evento negativo. Al menos la empresa puede apelar al hecho de que ha hecho suficientes esfuerzos para evitar el riesgo.
Riesgo de cumplimiento: Gestión de riesgos
La gestión de riesgos implica que una empresa dirige sus recursos para evitar la ocurrencia de un riesgo. No se puede evitar por completo, luego minimizar o ejecutar el control administrativo, como capacitación, equipos y servicios adicionales, etc.
Para empezar, se deben detectar los posibles riesgos y identificar su nivel en una escala de cinco niveles.
- Crítico (C) – Se requieren acciones inmediatas con planificación detallada y monitoreo regular de la situación al más alto nivel.
- Alto (H): se necesita un alto riesgo, supervisión y control regulares.
- Medio (M): se necesita riesgo medio, supervisión parcial y control.
- Bajo (L) – Se recomienda supervisar y controlar en modo normal.
- Muy bajo (VL) – Para supervisar bajo un procedimiento normal.
Para la correcta clasificación de los riesgos, es necesario evaluar las consecuencias y la probabilidad de ocurrencia del riesgo. Las matrices se pueden utilizar para evaluar las consecuencias y la probabilidad.
Como regla general, una empresa comienza la evaluación de riesgos con la ayuda del análisis legal de la legislación y la documentación interna. Pero también es importante involucrar a la dirección de la empresa a través de entrevistas con los jefes de departamentos y divisiones. Los riesgos se registran y evalúan sistemáticamente desde la perspectiva de la probabilidad de que ocurran y el nivel esperado de daño. Sobre la base de esta evaluación, se lleva a cabo la planificación de recursos y la aplicación de medidas de gestión de riesgos.
Reflexiones finales
El proceso de identificación, evaluación y supervisión de los riesgos para el cumplimiento de las normativas y los estándares de la industria por parte de su organización se conoce como gestión de riesgos de cumplimiento. Esto incluye todos los controles internos establecidos para garantizar que su empresa cumpla con esas obligaciones, así como el monitoreo continuo de esos controles para garantizar que sean efectivos.
Un programa de gestión de riesgos de cumplimiento documenta las posibles pérdidas y responsabilidades que su organización puede enfrentar como resultado del incumplimiento, como sanciones legales, multas, pérdida comercial y pérdida de reputación, y luego implementa los pasos de corrección necesarios para mantener esos riesgos en niveles aceptables.
