Por: CP Iván Rodríguez. Colaborador de Auditool

Las organizaciones normalmente operan en un panorama empresarial arriesgado, en el cual la materialización de riesgos podría afectar la posición financiera, reducir el crecimiento e incluso dañar la reputación. Uno de esos riesgos es el riesgo de cumplimiento.

Las empresas de todas las industrias o sectores deben cumplir con ciertas leyes, regulaciones, estándares de práctica y códigos de conducta impuestos por diferentes agentes bien sean públicos o privados, agencias gubernamentales, organizaciones reguladoras, organismos profesionales o gremiales entre otros. El conjunto de normas que deben cumplirse se conoce como requisitos de cumplimiento y no atenderlos debidamente hace que una organización esté en riesgo de pérdida material, sanciones financieras y acciones legales. Incluso podría perder el derecho a operar. El término colectivo para todas estas exposiciones es riesgo de cumplimiento.

El riesgo de cumplimiento puede aplicarse a las empresas independientemente del tipo, tamaño o industria. Para minimizar este riesgo, la organización necesita una gestión proactiva y continua de los riesgos de cumplimiento, lo cual representa un interesante desafío para la alta dirección y un tema de atención para la auditoría.

La mayoría de las organizaciones enfrentan riesgos de cumplimiento relacionados con estas áreas:

  • Seguridad de la información y ciberseguridad
  • Corrupción, soborno, fraude/malversación, lavado de dinero
  • Riesgos de cumplimiento ambiental
  • Amenaza a la continuidad del negocio debido a la falta de preparación para desastres
  • Salud de las personas y seguridad industrial

Respecto del tema de seguridad de la información, las empresas que manejan datos confidenciales de los clientes están obligadas por las diferentes normas y leyes de privacidad de datos, tales como la Ley de Portabilidad y Responsabilidad de Seguros de Salud en Estados Unidos (Health Insurance Portability and Accountability Act – HIPAA) y el Reglamento General de Protección de Datos de Europa (General Data Protection Regulation – GDPR) y estándares como Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (Payment Card Industry Data Security Standard PCI-DSS) a implementar controles apropiados para proteger estos datos de violaciones y compromisos. El incumplimiento puede provocar serios problemas, incluyendo fuertes multas.

En cuanto al tema de corrupción y lavado de activos, casi todos los países han implementado leyes al respecto. Normalmente la atención se centra en el tema del lavado de activos, pero se ha descuidado el tema de fraude y corrupción, si bien algunas organizaciones han optado por obtener la certificación ISO 37001 – Sistema de Gestión Antisoborno. A pesar de ello, muchas empresas no los cumplen, lo que aumenta el riesgo de multas, juicios, efectos legales y daños a la reputación.

De otra parte, las operaciones de una empresa pueden causar daños ambientales, aumentando su exposición al riesgo de cumplimiento ambiental. Este riesgo forma parte del cumplimiento de los criterios Ambiental, Social y de Gobernanza (Enviromental, Social y Governance – ESG), que se están volviendo cada vez más importante en todo el mundo.

Los desastres naturales y provocados por el hombre son otro riesgo de cumplimiento, ya que pueden alterar la continuidad del negocio de una organización. Incluso existe el riesgo de sanciones por parte de las agencias reguladoras por no prepararse para posibles desastres, ya que la preparación podría haber mitigado el daño.

De otra parte, muchas industrias se rigen por estrictas leyes de salud y seguridad. Por ejemplo, en los Estados Unidos, estas reglas son aplicadas por agencias como la Administración de Seguridad y Salud Ocupacional (Occupational Safety and Health Administration – OSHA) y la Administración de Alimentos y Medicamentos (Food and Drug Administration – FDA). El incumplimiento puede resultar en fuertes multas, litigios e incluso órdenes de suspender operaciones.

La mayoría de las organizaciones enfrentan muchos, o todos, estos riesgos de cumplimiento. Además, el castigo por incumplimiento puede ser contundente. Evitar repercusiones requiere un compromiso significativo de tiempo, recursos y fondos, lo que implica un esfuerzo operativo e inversión de recursos.

A este panorama se suma el hecho de la actualización constante de las leyes y regulaciones existentes y la puesta en escena de muchas otras normas. Por ejemplo, en marzo de 2022, la Comisión de Bolsa y Valores de EE. UU. (Securities and Exchange Commission – SEC) propuso nuevas directrices que requieren que todas las empresas extranjeras y nacionales que cotizan en bolsa eliminen los riesgos relacionados con el clima que podrían afectar sus operaciones comerciales y finanzas. Para las organizaciones se constituye en un desafío tratar de mantenerse al día con las regulaciones. Deben determinar qué requisitos de cumplimiento están obligadas a cumplir y comprender las consecuencias del incumplimiento.

Ahora bien, toda vez que el cumplimiento requiere un esfuerzo significativo de priorización, un análisis detallado y, por supuesto, recursos, un sólido programa de gestión de riesgos de cumplimiento (diferente a la gestión de cumplimiento) es vital. El mismo debe comprender los siguientes componentes:

  • Identificar las obligaciones de cumplimiento
  • Calificar los requisitos y deficiencias identificados
  • Identificar roles y responsabilidades para los gerentes de cumplimiento
  • Crear o actualizar políticas y procedimientos para lograr el cumplimiento
  • Elaborar y difundir informes de cumplimiento

Algunas líneas de acción que deben tenerse en cuenta para el efecto son las siguientes:

  • Crear un registro de obligaciones de cumplimiento y actualizarlo con las leyes y regulaciones que se aplican a la organización e industria. El registro debe ser un documento actualizable que incluya un resumen de todos los requisitos reglamentarios y las sanciones por incumplimiento
  • Calificar la gravedad y la urgencia de los compromisos de cumplimiento y cualquier deficiencia resultante, y priorizarlos en función de posibles multas o consecuencias por incumplimiento.
  • Identificar los compromisos de cumplimiento no es suficiente para cumplirlos. Debe haber un responsable de la gestión del proceso que esté atento a la frecuencia de las revisiones en curso, en función de la gravedad del riesgo de incumplimiento.
  • Identificar los riesgos de cumplimiento, para lo cual pueden considere los siguientes factores y la relación entre ellos: Fuente de riesgo, amenazas y oportunidades, vulnerabilidades, indicadores de riesgo, etc.
  • Evaluar la probabilidad y el impacto posible de cada riesgo. La gravedad del riesgo puede coincidir con la penalización por incumplimiento definida en el registro de obligaciones de cumplimiento.
  • Mitigar el riesgo mediante el fortalecimiento de los controles existentes o el establecimiento de nuevos controles. Los mismos deben revisarse para decidir si se requieren cambios.
  • Monitorear nuevos riesgos que pueden afectar a la organización para mantener el riesgo de cumplimiento tan bajo como sea posible, para el efecto: Hacer evaluaciones de control, capacitar al personal y contar con protocolos para gestionar los incumplimientos.

Si bien estas medidas no son exhaustivas, se constituyen en referencias útiles para que los administradores gestionen el riesgo y los auditores cuenten con elementos de base para efectuar sus evaluaciones y recomendaciones.

 

CP Iván Rodríguez

Auditor y consultor, Diplomado en Alta Gerencia de Seguros y Derecho de Seguros. Especialista en Dirección Financiera y Desarrollo Organizacional, diplomado en Gerencia de la Calidad. Contador público de la Pontificia Universidad Javeriana con 20 años de experiencia en diversas empresas. Amplia experiencia en la elaboración y ejecución de auditorías y revisorías fiscales. Dirección y ejecución de asesorías, consultorías y capacitaciones. Colaborador de Auditool.

Bogotá D.C., Colombia