Los mapas de riesgos son una herramienta imprescindible para cualquier tipo de empresa, puesto que les permiten analizar, evaluar y adelantarse y mitigar los riesgos que pueden enfrentar durante su vida. Dentro del compliance, el mapa de riesgos es también una herramienta fundamental, puesto que permite diseñar un plan de gestión de compliance mucho más adecuado y ajustado a los riesgos reales de incumplimiento que puede enfrentar la empresa.
En esta entrada explicaremos qué es un mapa de riesgos compliance y cómo elaborarlo.
¿Qué es un mapa de riesgos compliance?
El mapa o matriz de riesgos compliance es una herramienta con la que la empresa, a través de un proceso de recopilación y evaluación de información, puede identificar y definir los riesgos de cumplimiento que puede enfrentar y para los que necesita elaborar un plan de compliance adecuado, destinado, precisamente, a reducir la posibilidad de que esos riesgos se materialicen o a eliminarlos completamente.
Tipos de mapa de riesgo
Tanto en el ámbito del compliance como en otras áreas, podemos distinguir entre tres tipos de mapas de riesgo:
- Mapa de factores de riesgo: Se analizan y evalúan los riesgos que puedan afectar y causar daño a los objetivos planteados por la empresa, de manera que la desestabilicen. Se trata de identificarlos y hacer una breve descripción de los mismos, para poder establecer un sistema de prevención primaria. A este mapa también se lo conoce como mapa de condiciones de trabajo.
- Mapa de los expuestos al riesgo: Se analizan y evalúan aquellos riesgos que pueden afectar a la población objetivo (en una empresa, por ejemplo, sus empleados) y permite conocer a qué riesgos internos o externos están expuestos. También es conocido como mapa de las condiciones de salud de la población.
- Mapa de daños: Se recoge toda la información de las situaciones que han producido alguna clase de alteración en la empresa o podrían provocarla y, junto a los otros dos mapas, se emplea para recopilar información y determinar cuáles son los riesgos prioritarios para la empresa.
¿Para qué sirve un mapa de riesgos compliance?
Elaborar un mapa de riesgos compliance sirve para adecuar lo mejor posible el plan de compliance de la empresa, puesto que sus medidas se diseñarán en base a los riesgos detectados y su nivel de materialización.
Es decir, basándonos en el mapa de riesgos compliance se podrá hacer un plan de compliance completamente adaptado a la empresa y los riesgos de cumplimiento en los que puede incurrir con mayores probabilidades, creando así los controles y medidas necesarios para prevenir, mitigar o eliminar dichos riesgos, así como gestionarlos.
Pasos para elaborar un mapa de riesgos compliance
Ahora que ya sabemos qué es y para qué sirve un mapa de riesgos compliance, pasemos a ver cómo elaborar un mapa de riesgos de una empresa en esta materia, para lo que vamos a necesitar familiarizarnos con estos conceptos:
- Riesgo inherente: es aquel riesgo intrínseco a la propia actividad de la empresa.
- Riesgo residual: es el nivel de riesgo que permanece tras establecer medidas y controles.
- Impacto: son las consecuencias que la materialización de un riesgo tendría para la empresa.
- Probabilidad: es la frecuencia con la que podría producirse un riesgo cuando no hay controles o medidas que puedan mitigarlo.
- Controles: son los mecanismos o medidas preventivas cuyo objetivo es reducir o evitar la materialización de un riesgo. Existen, a grandes rasgos, tres tipos de controles que se pueden implantar:
- Preventivos: diseñados para eliminar las causas del riesgo e impedir que este se materialice.
- Correctivos: diseñados para devolver a la normalidad al conjunto de la empresa y para dar ejemplo entre todo su personal, con el fin de que las situaciones de riesgo no se reproduzcan.
- Detectivos: diseñados para mitigar las consecuencias una vez se ha materializado el riesgo.
Define los riesgos de cumplimiento
En cualquier metodología para hacer un mapa de riesgos, el primer paso siempre es identificar y definir los riesgos, en el caso del mapa de riesgos compliance, los riesgos de cumplimiento a los que está expuesta la empresa.
Para identificar y listar estos riesgos de cumplimiento, lo primero que debemos hacer es contextualizar la situación de la empresa, es decir, ver la imagen completa, lo que incluye el negocio o actividad que desarrolla, los empleados, la infraestructura, su zona geográfica, las normativas que le afectan, la organización interna, etc.
Con esta información podremos identificar y crear una lista de riesgos relacionados con la actividad de la empresa, el servicio o producto que comercializa, su ubicación geográfica y su estructura interna.
En esta fase es primordial recopilar toda la información necesaria y pertinente, porque cuanto más exhaustivos seamos, más exacto y útil resultará el mapa de riesgos resultante.
Asigna responsables
Evidentemente, recopilar toda esa información es una tarea que no puede llevar a cabo una sola persona, aunque el mapa de riesgos compliance lo acabe elaborando un comité de riesgos formado por unos pocos miembros, en los procesos previos se puede contar con la colaboración de otros empleados.
Para llevar una mejor organización del proceso, se asignarán responsables para cada área donde existan riesgos de incumplimiento normativo. Estos responsables, por un lado, ayudarán a identificar los riesgos de su área y, por otro lado, supervisarán los controles y medidas dispuestos para mitigar o eliminar los riesgos.
Determina la probabilidad de que ocurra el riesgo de incumplimiento
El siguiente paso, una vez tenemos identificados y listados los riesgos de incumplimiento, es proceder a su análisis, para ello empezaremos por determinar la probabilidad de que estos riesgos se materialicen dando lugar a un evento negativo.
Para ello se debe crear una escala valorativa con la que se pueda medir la probabilidad en valores cuantificables, por ejemplo, se puede crear una escala de diferentes rangos en base al nivel de probabilidad: «poco probable», «muy probable», «altamente probable».
Hay que tener en cuenta que hablamos de un nivel de probabilidad teórico, basado en el contexto de la empresa, pero que nos servirá para adoptar los controles o medidas preventivas en el plan de compliance.
Determina el impacto del incumplimiento
Junto a la probabilidad, determinaremos también el nivel de impacto que tendría sobre la empresa la materialización de un riesgo, para el que también estableceremos una escala valorativa que podría ser «bajo», «alto» o «grave».
Es habitual que en una plantilla de un mapa de riesgos la escala de probabilidad se coloque en el eje vertical y los niveles de impacto en el eje horizontal.
Determina grados de tolerancia al riesgo
Cuando ya hemos definido los riesgos, así como la probabilidad de que se materialicen y el impacto que pueden tener sobre la empresa, solo queda determinar el grado de tolerancia que se tiene para cada riesgo, es lo que se conoce como «apetito de riesgo» y es el nivel de riesgo que la empresa está dispuesta a asumir.
Esta decisión se toma entre los directivos de la empresa y sirve para determinar para qué riesgos se establecen controles, se destinan más recursos y se crea un plan de acción para darles respuesta.
Cabe señalar que hasta que no se comparan el mapa de riesgos compliance antes de aplicar los controles destinados a evitar, eliminar o mitigar los riesgos inherentes, con el mapa de riesgos residuales, no habremos hecho una valoración completa de los riesgos, por lo que es necesario ponerlos en relación para poder determinar de manera adecuada el apetito de riesgos de la empresa.
Ejemplo de mapa de riesgos compliance
En la siguiente imagen podéis ver un ejemplo de un mapa de riesgos compliance.
Hemos realizado el mapa de riesgos compliance en Excel, pero existen programas creados expresamente para elaborar este tipo de mapas de riesgos de manera completa y sencilla.
En el mapa del ejemplo, gracias a la codificación por colores, es fácil determinar a qué riesgos se deben dedicar más recursos o priorizar para reducir o mitigar en función de su nivel de impacto y su probabilidad de materialización; en este caso el R6, que podría ser, por ejemplo, la probabilidad de cometer un delito contra la Hacienda Pública, porque el departamento de contabilidad tiene poco personal para el volumen de negocio que tiene la empresa.
Beneficios de elaborar mapas de riesgo
El principal beneficio de elaborar mapas de riesgo es que permiten tener una imagen integral de la probabilidad y el impacto de los riesgos que pueden afectar a la empresa, lo que le permite llevar a cabo una mejor prevención y gestión de los mismos, destinando más recursos allí donde el nivel de riesgo es mayor.
Gracias al mapa de riesgos compliance, la empresa puede priorizar los riesgos que más probabilidades tienen de materializarse y que más daño pueden causar a la empresa, diferenciados además en distintas áreas, pudiendo también poner en relación diferentes departamentos cuando los riesgos que enfrentan están interrelacionados.
Conocer las posibilidades de que un riesgo ocurra y las consecuencias que supondría para la empresa, sirve para diseñar y elegir aquellos mecanismos de control y medidas más adecuados para evitar el riesgo o para mitigar su impacto, si este se materializa.
En definitiva, el mapa de riesgos compliance servirá para elaborar un plan de compliance completamente adaptado a la realidad de la empresa y los riesgos que dentro de su contexto puede enfrentar.