6 Unidad Compliance C S

UNIDAD
6 GESTIÓN DEL
RIESGO DE
DE COMPLIANCE
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE I

P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Sumario
Unidad 6
Objetivos de la unidad
1. Introducción
2. El concepto de riesgo de compliance
2.1. Efectos de los riesgos

2.2. Causas de los riesgos
2.3. Metodología para la evaluación del riesgo de compliance
2.3.1. Determinación del riesgo residual
3. Los mapas de riesgos
3.1. El proceso de desarrollo del mapa
4. Proceso de gestión del riesgo
4.1. Conocimientos de la empresa, su actividad y los riesgos asociados
4.1.1. Consulta a todas las partes interesadas

4.1.2. Conocimiento de la organización
4.2. Evaluación del riesgo de compliance
4.2.1. Identificación de los riesgos de compliance

4.2.2. Análisis de los riesgos. El riesgo inherente
3. Valoración ajustada al control interno

4. Evaluación de los riesgos
4.1. El concepto de «apetito de riesgo»
5. Definición de los controles: mapa de controles
5.1. Descripción de los controles

5.2. Evaluación de los controles
5.3. Riesgo residual
6. Tratamiento de los riesgos
6.1. Diseño de un plan de acción
│ Sumario
DE COMPLIANCE II
7. Seguimiento y revisión
7.1. Indicadores de la eficacia del modelo de gestión del riesgo (Key Performance Indicator, KP)
8. Eficacia de la evaluación del riesgo de cumplimiento
Actividades de autocomprobación
Sumario │
DE COMPLIANCE 1
Unidad 6
 OBJETIVOS DE LA UNIDAD
Dentro de una estructura de compliance, tal y como lo conceptúa la ISO 19600, el esta-
blecimiento de controles sobre toda la organización es esencial. Para establecer controles, con
carácter previo es preciso llegar a conocer los concretos riesgos de cada organización.
En esta unidad estudiaremos los procesos de gestión del riesgo; para ello, vamos a seguir
los criterios que marca la ISO 31000 sobre gestión del riesgo. Esta metodología nos va a permi-
tir determinar el nivel de riesgo de compliance en una organización y saber dónde están nues-
tras debilidades. El objetivo final del análisis del riesgo de compliance es permitirnos tomar
decisiones: erradicar el riesgo, minorarlo, asegurarlo o incluso aceptarlo.
Como elemento fundamental de esta unidad está el concepto de mapa de riesgos como
herramienta a través de la cual se realiza la gestión del riesgo de compliance y que el alumno
debe dominar.
│ Sumario
DE COMPLIANCE 2
1. INTRODUCCIÓN
Uno de los elementos fundamentales para asegurar la sostenibilidad de una empresa en
el largo plazo es realizar una correcta identificación y evaluación de los riesgos. El entorno
empresarial es cada vez más complicado y está sujeto a una mayor regulación, lo que hace
necesario que las empresas se doten de un marco que permita anticiparse a situaciones poten-
cialmente adversas.
No se puede mitigar un riesgo si no se sabe que existe. A medida que prolifera la regu-
lación, las organizaciones están expuestas a un mayor grado de riesgo. El riesgo de cumpli-
miento es la amenaza que representa la posición financiera, organizacional o reputacional de
una organización como resultado de violaciones de leyes, reglamentos, códigos de conducta o
estándares de práctica de la organización. Para conocer su exposición al riesgo, las organiza-
ciones deben dotarse de un proceso de evaluación de riesgos para conocer plenamente la expo-
sición al riesgo de cumplimiento.
La función de compliance debe asegurarse de comprender todo el espectro de riesgos de

cumplimiento que acechan en cada parte de la organización y luego debe evaluar qué riesgos
tienen el mayor potencial de daño legal, financiero, operacional o reputacional y asignar recur-
sos limitados para mitigar esos riesgos.
Las empresas realizan evaluaciones para identificar sus riesgos, por ejemplo, estratégicos,
financieros, operacionales, y evaluar la exposición a cada uno de ellos. En la mayoría de los casos,
el proceso de evaluación de riesgos de la empresa se centra en la identificación de los riesgos de
«apostar a la compañía»; aquellos que podrían afectar a la capacidad para lograr sus objetivos
estratégicos.
La evaluación de riesgos de cumplimiento ayudará a la organización a comprender todo

el rango de su exposición al riesgo, incluida la probabilidad de que ocurra un evento de riesgo,
las razones por las que puede ocurrir y la posible gravedad de su impacto. Una evaluación de
riesgos de cumplimiento diseñada de manera efectiva también ayuda a las organizaciones a
priorizar riesgos, asignar estos riesgos a los propietarios de riesgos aplicables y asignar recur-
sos de manera efectiva a la mitigación de los mismos.
Debido a la variedad de los posibles riesgos de cumplimiento a los que se enfrenta una
organización, la evaluación suele ser muy compleja. El marco establece el panorama de riesgo
de cumplimiento de la organización y lo organiza en dominios de riesgo, mientras que la meto-
dología contempla formas objetivas y subjetivas para evaluar esos riesgos.
Las empresas deben establecer los mecanismos que les permitan identificar su riesgo de
cumplimiento y la forma en que afecta a sus diferentes actividades y procesos, analizar los con-
troles existentes para minorar la posibilidad de que un riesgo potencial se materialice en una
pérdida cierta, y adoptar medidas para reducir o controlar el riesgo en aquellas áreas donde se
observe que está por encima de los límites tolerables para la empresa.
El marco debe ser integral, dinámico y personalizable, lo que permite a la organización

identificar y evaluar las categorías de riesgo de cumplimiento a las que puede estar expuesta.
Sumario │
DE COMPLIANCE 3
Algunos riesgos de cumplimiento son específicos de una industria u organización; por ejem-
plo, las normas de seguridad del trabajador para los fabricantes o las normas que rigen el comporta-
miento de los representantes de ventas en la industria farmacéutica. Otros riesgos de cumplimiento
trascienden las industrias o las geografías, como los conflictos de intereses, el acoso, la protección
de datos o la conservación de la documentación. Un marco eficaz debe organizar sus elementos
para mitigar los riesgos de forma eficaz y para que sea aplicable a cada riesgo de compliance.
El entorno regulatorio, en constante cambio, aumenta la vulnerabilidad de la mayoría de

las organizaciones al riesgo de compliance. Esto es particularmente cierto para aquellas orga-
nizaciones que operan a escala global. La complejidad del panorama de riesgo y las sanciones
por incumplimiento hacen que sea esencial para las organizaciones llevar a cabo evaluaciones
exhaustivas de su exposición al riesgo de cumplimiento.
Una buena evaluación de riesgos de ética y cumplimiento incluye tanto un marco integral
como una metodología para evaluar y priorizar los riesgos. Con esta información en la mano,
las organizaciones podrán desarrollar estrategias efectivas de mitigación y reducir la probabi-
lidad de un evento importante de incumplimiento o falla ética, distinguiéndose en el mercado
de sus competidores.
2. EL CONCEPTO DE RIESGO DE COMPLIANCE
El documento Compliance and the Compliance Function in Banks, publicado por el

Comité de Supervisión Bancaria de Basilea en el año 2005, aportó una definición del riesgo
de compliance que se puede resumir en lo siguiente:
«El riesgo de compliance es el riesgo de que una organización pueda sufrir san-
ciones, multas, pérdidas financieras o pérdida de su reputación como resultado del
incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de
conducta que se apliquen a su actividad».
Aunque el mencionado documento está específicamente dirigido a los bancos, las defi-
niciones y principios expresados en el mismo son aplicables a la función de compliance de
cualquier empresa u organización y resumen de forma certera los principios básicos que deben
dirigir la función.
Posteriormente, en julio de 2015, el Comité de Supervisión Bancaria de Basilea ratificó

y completó dicha definición del riesgo de compliance añadiendo un concepto fundamental: la
necesidad de que la función de compliance se asegure de que la organización opera con inte-
gridad y cumpliendo con las leyes, normativas y políticas internas que le sean de aplicación.
Vemos, por tanto, que el riesgo de compliance va unido, no solo al posible incumplimiento
de las leyes, sino, principal y fundamentalmente, a la vulneración de las normas de conducta
que llevan a una organización a comportarse de forma poco ética o poco íntegra.
La gestión de los riesgos de compliance viene impulsada por dos procesos, en gran medida
relacionados: por una parte, la evolución del contexto socioeconómico hace que la empresa se
vea sometida a factores de riesgo cada vez más lejanos a su entorno próximo, con frecuencia
atípicos o singulares, y cuyo tratamiento requiere, no ya decisiones rápidas, sino estrategias
│ Sumario
DE COMPLIANCE 4
preventivas ad hoc y, por otra, la posibilidad de inferir catálogos de buenas prácticas a partir
de la experiencia y del marco regulatorio propios de la gestión de riesgos.
Figura 1. Gestión de riesgos
Artículo 31 bis Compliance Ética
21 delitos del Código Penal ex- Externo: Compliance con las expectativas
tensibles a la persona legal. de los grupos de interés.
• Otros delitos (mobbing, se-
Recursos y urgencia. Decisiones de negocios basadas
guridad laboral).
Etapa de educación (y aprendi- en valores corporativos (ten-
• Regulaciones (cotizantes
zaje del compliance officer). dencia en cómo reclutamos).
del mercado de valores).
El «compliance de papel». Retorno del gasto de compliance.
• Autorregulaciones.
• Ley, Estatuto de los Traba- Sostenibilidad y rentabilidad.
jadores. Excelencia de servicio, diferen-
• ISO. ciador, cultura corporativa.
Interno:
• Políticas y procedimientos.
• Compromisos.
2.1. EFECTOS DE LOS RIESGOS
Nos encontramos con los siguientes efectos que producen los riesgos en caso de materia-
lizarse y que, en su conjunto, definen el riesgo de compliance:
• Sanciones. Una empresa puede recibir sanciones administrativas (dictadas por

organismos supervisores) o penales (dictadas por tribunales de justicia). Las san-
ciones pueden ir desde las más leves hasta las más graves, llegando incluso a la
pérdida de la licencia o al cierre de sus actividades.
• Multas económicas. Adicionalmente, una empresa también puede ser obligada a
pagar multas económicas, en ocasiones muy elevadas, por infracciones adminis-
trativas o penales.
• Pérdidas financieras. No son únicamente motivadas por las multas. En ocasio-
nes, por ejemplo, tienen que pagar compensaciones a los clientes para subsanar
malas prácticas comerciales que alcanzan cifras millonarias. La fuga de clientes
que motivan las malas prácticas son otro ejemplo de importantes pérdidas econó-
micas que pueden sufrir las empresas.
• Pérdida de reputación. La difusión pública que habitualmente conllevan los escán-
dalos económicos, con la publicación en los medios de comunicación y en las redes
sociales de noticias negativas que afectan a la empresa implicada, derivan en el
Sumario │
DE COMPLIANCE 5
riesgo más difícil de cuantificar, pero sin duda el más grave de todos. El valor de la
marca de la empresa y su reputación, basada en la confianza, son los mayores acti-
vos de una organización. Se tarda años en conseguir una reputación y en forjarse
la confianza de los clientes y los mercados, pero se puede perder en cinco minutos.
La pérdida de la reputación motivada por escándalos económicos ha hecho caer en
muy pocos días imperios empresariales construidos durante décadas.
2.2. CAUSAS DE LOS RIESGOS
En cuanto a los incidentes que pueden dar lugar a que se materialicen los mencionados
riesgos que definen el riesgo de compliance, son los siguientes:
• Incumplimiento de las leyes. El cumplimiento de la legislación que afecta a la

actividad de una empresa es su primera obligación antes de abrir sus puertas. Cual-
quier incumplimiento de las leyes y demás normas, consciente o inconsciente,
puede derivar en un riesgo de compliance para la organización. Como se ha indi-
cado anteriormente, un responsable de compliance debe velar, no solo por que se
cumple la letra de la ley, sino también su espíritu.
• Incumplimiento de las políticas internas. Con objeto de prevenir los riesgos de
compliance, las empresas deben dotarse de normas de autorregulación (políticas y
procedimientos internos) que vayan más allá de lo estrictamente legal y que persi-
gan altos estándares de comportamientos éticos. El incumplimiento de dichas polí-
ticas y procedimientos son causas que conducen a que los riesgos de compliance
se puedan materializar.
• Incumplimiento de los códigos de conducta. En línea con lo señalado anterior-
mente, las empresas deben formular códigos de conducta o códigos éticos que desa-
rrollen y formalicen su visión y sus valores y que sean de obligado cumplimiento
para todos sus administradores, directivos y empleados. Los incumplimientos de
las pautas y directrices contenidas en los códigos de conducta pueden derivar en
riesgos de compliance.
ETODOLOGÍA PARA LA EVALUACIÓN DEL RIESGO DE COM-

2.3. M
PLIANCE
El punto de partida debe ser una metodología objetiva para evaluar la probabilidad y el
impacto potencial de cada riesgo, lo que ayudará a la organización a comprender su exposi-
ción al riesgo inherente.
El riesgo inherente es el que existe en ausencia de controles o estrategias de mitigación.

Al principio, el riesgo inherente ayuda a la organización a que desarrolle una visión temprana
de su estrategia para la mitigación de riesgos y, cuando las organizaciones lo identifican, deben
considerar los principales factores de riesgo que pueden organizarse en cuatro categorías:
• Impacto legal. Acción legal o reglamentaria contra la organización o sus emplea-

dos que podrían resultar en multas, penas, encarcelamiento, incautaciones de pro-
ductos o exclusión.
│ Sumario
DE COMPLIANCE 6
• Impacto financiero. Impactos negativos con respecto a la línea de fondo de la

organización, precio de la acción, futuro potencial, ganancias o pérdida de la con-
fianza del inversor.
• Impacto en el negocio. Eventos adversos, como embargos o cierres de plantas,
que podrían interrumpir significativamente la capacidad de la organización para
operar.
• Impacto reputacional. Daño a la organización, reputación o marca; por ejemplo,
mala prensa o discusión social en los medios, pérdida de la confianza del cliente
o disminución moral de los empleados.
Es importante proporcionar una información cuantitativa y cualitativa para cada categoría.

En el caso de riesgos con impacto financiero directo, el valor monetario real puede medirse con
respecto al riesgo. Otra forma de evaluar el riesgo es usar una escala de criticidad que indica
el grado de impacto de incumplimiento. La extensión del impacto se puede describir en tér-
minos cualitativos. Por ejemplo, el impacto reputacional podría ser bajo si hay mínima o nula
cobertura de la prensa, mientras que el impacto podría ser alto si hay una amplia exposición
negativa en los medios.
La función de compliance, como una de las funciones de control de riesgo de la empresa,

debe pasar de un planteamiento inicial muy simple de limitarse a identificar los incumplimien-
tos de la normativa a la identificación de los riesgos que asume por incumplimientos y plan-
tear medidas correctoras que logren solucionarlos. Incorporamos a la tradicional visión legal
de compliance el elemento del riesgo y su gestión y, sobre todo, una gestión eficaz.
2.3.1. Determinación del riesgo residual
Si bien es imposible eliminar toda la exposición al riesgo de una organización, el marco de

trabajo y la metodología de riesgos ayudan a la organización a priorizar los riesgos que desea
gestionar más activamente. Desarrollar un marco y una metodología ayuda a las organizacio-
nes a determinar hasta qué punto las actividades de mitigación de riesgos existentes de la orga-
nización puede reducir el riesgo.
Las actividades efectivas de mitigación de riesgos pueden reducir la probabilidad de que

ocurra el evento de riesgo, así como también la posible gravedad del impacto para la organización.
Cuando una organización evalúa el riesgo inherente a la luz de su entorno de control y

actividades existentes, el grado de riesgo resultante se conoce como el «riesgo residual». Si las
estrategias de mitigación de riesgo existentes son insuficientes para reducir el riesgo residual a
un nivel aceptable, este es un indicador de qué medidas adicionales están en orden.
3. LOS MAPAS DE RIESGOS
Las empresas deben disponer de una estrategia integral y sistematizada para la gestión de
sus riesgos. El elemento fundamental sobre el que se construye esta estrategia es el mapa de
riesgos. Es una herramienta, basada su propia información, que busca identificar las activida-
des o procesos sujetos a riesgo, cuantificar la probabilidad de estos eventos y medir el daño
potencial asociado a su ocurrencia.
Sumario │
DE COMPLIANCE 7
Su utilidad se basa en tres elementos:
• Genera una información integrada sobre la exposición al riesgo de la empresa.

• Sintetiza el riesgo en un valor económico total de los riesgos asumidos.
• Facilita la exploración de esas fuentes de riesgo.
El mapa de riesgos es una herramienta dirigida a prevenir los riesgos a los que está expuesta
la empresa mediante su identificación y segmentación. Debe cubrir todos los riesgos de la
empresa, desde riesgos financieros (un aumento de la competencia que afecte negativamente
nuestras ventas) hasta reputacionales (un uso inadecuado de los medios de comunicación de la
empresa), pasando por los penales (insolvencias punibles).
La gestión del riesgo pasa por elaborar un mapa de riesgos eficaz; su objetivo es sintetizar
la información relativa a las incertidumbres que afronta la empresa y colaborar en las estrate-
gias destinadas a mitigar la exposición y los daños potenciales.
Este planteamiento se corresponde con la noción clásica de riesgo: una indeterminación

que puede ser medida en términos de probabilidad y que implica una pérdida potencial con
impacto financiero relevante. El mapa contribuye al objetivo general de supervivencia de la
empresa aportando la información precisa para medir y controlar esa exposición y poner en
práctica un modelo de gestión proactiva del riesgo.
Su finalidad es identificar y medir los riesgos a los que está expuesta la organización y
proporcionar una visión analítica de las relaciones de causalidad subyacentes contestando a las
preguntas: ¿cuáles son los procesos o actividades que causan esta exposición?, ¿vincular los
procesos de negocios con sus correspondientes riesgos permite trazar las causas de un evento
en concreto?
La gran ventaja de dotar a la empresa de un mapa de riesgos es disponer de un análisis de

forma sistemática sobre los riesgos que está asumiendo la empresa, su justificación en términos
de creación de valor y las políticas aplicadas para mitigar sus consecuencias.
3.1. EL PROCESO DE DESARROLLO DEL MAPA
La construcción de un mapa de riesgos está muy ligada a la propia evaluación de los ries-
gos y supone posicionar los riesgos y las oportunidades de acuerdo con diferentes ejes, deter-
minando el impacto potencial de los riesgos, el nivel de control de los mismos o la posibilidad
de ocurrencia.
Antes de abordar los elementos esenciales para la elaboración de un mapa de riesgos en la

empresa, debemos definir lo que entendemos por riesgo empresarial. En este sentido, tal vez la
definición más acorde sería «todo aquello que puede impedir que la empresa alcance sus obje-
tivos estratégicos». Esta definición es indudablemente distinta a la definición clásica de riesgo,
entendido como amenaza a los recursos físicos de la empresa.
Una vez definido el concepto que deseamos controlar, resulta esencial tener un diagnós-
tico que presente las vulnerabilidades de la organización. Esto es lo que se define como mapa
│ Sumario
DE COMPLIANCE 8
de riesgos, y consiste en identificar y jerarquizar los riesgos principales de las empresas, así
como ejecutar las acciones correctoras que sean necesarias para gestionar adecuadamente los
riesgos encontrados.
La elaboración de un mapa de riesgos requiere una metodología y una colaboración por

parte de toda la compañía. Esto implica, por un lado, la consulta con expertos de las diferentes
áreas de la compañía y con los agentes encargados de la configuración y el control de los dis-
tintos procesos de la empresa y, sobre todo, un conocimiento global de la compañía por parte
de la persona o el equipo encargado de desarrollar el mapa de riesgos.
Finalmente, el trabajo requerirá un esfuerzo de implementación de controles dentro de

las áreas de mejora detectadas, así como de lo que en un primer momento puede resultar más
complejo, como es la integración de la identificación de riesgos y controles para la interacción
de todo el entorno de control capaz de ofrecer una imagen global que integre las áreas suscep-
tibles de mejora.
En definitiva, el mapa de riesgos será un proyecto válido si: i) la empresa asume, valida y
entiende los resultados; ii) se adoptan acciones de gestión de riesgos de negocio; y iii) el trabajo
se actualiza y pervive en el tiempo. El objetivo es agregar la información relativa a los riesgos
que se derivan de cada una de las actividades de la empresa. El principal problema para su ela-
boración es que, a pesar de todo, muy pocas personas en la organización conocen en detalle
todos y cada uno de sus procesos y la forma en que se relacionan.
Por otra parte, desde el punto de vista del control, es preciso identificar un pequeño número
de medidas o indicadores que reflejen el estado de cada uno de estos procesos (KRI, key risk
indicators) y relacionarlos con procedimientos de control y con las acciones de mitigación que
se aplicarán cuando estos indicadores revelen desviaciones o anomalías.
La elaboración de un mapa de riegos debe pasar por las siguientes fases:
• Identificación. Los riesgos de compliance que hayamos identificado dependerán

del tipo de empresa, de su tamaño y complejidad.
• Evaluación de los riesgos.
• Identificación de los responsables y plan de acción para su mitigación.
• Seguimiento.
En los siguientes epígrafes de esta unidad estudiaremos detalladamente este proceso de

gestión del riesgo de compliance a partir de la elaboración de un mapa de riesgos.
4. PROCESO DE GESTIÓN DEL RIESGO
En este epígrafe, como conocemos en qué consiste el riesgo de compliance y entendidos

los elementos que debemos gestionar, vamos a ir viendo las distintas fases que debemos seguir
para la gestión del riesgo de compliance.
En este sentido, vamos a tomar como referencia la construcción de un mapa de riesgos

que nos ayude en la gestión del riesgo de compliance. Nos va a ayudar mucho cómo se recoge
este proceso en la norma ISO 31000, «Gestión del riesgo».
Sumario │
DE COMPLIANCE 9
Para la identificación, evaluación y gestión del riesgo, contamos en la actualidad con

estándares internacionales, como ISO 31000, que ponen a nuestra disposición una metodolo-
gía uniforme, común y reconocida en el ámbito internacional para identificar, analizar, eva-
luar y tratar los potenciales riesgos, contribuyendo a minimizar las áreas de incertidumbre y
a la mejora del desempeño, proporcionando las directrices necesarias para gestionar eficaz-
mente cualquier tipo de riesgo de una manera sistemática, transparente y fiable, ayudando a
desarrollar un marco de trabajo para integrar la gestión del riesgo en todos los procesos de
la empresa y, cómo no, también en los procesos asociados al área legal de la organización.
En todas las fases del proceso es necesaria la participación de todas las partes interesadas
de la organización, tanto internas como externas, con objeto de obtener sus opiniones con rela-
ción a todos los aspectos relacionados con los riesgos: identificación de nuevos riesgos, causas
y consecuencias de los mismos, medidas que adoptar para su gestión, etc. Sin esta comunica-
ción, el ejercicio no sería completo.
El riesgo es un elemento propio de la actividad empresarial y presente en cualquier tipo de

actividad. Pero su conocimiento se ha complicado al tener las empresas elementos de incerti-
dumbres cada vez más variados y alejados de su centro de control y capaces de producir daños
irreversibles (casos del Banco de Madrid, Arthur Andersen, etc.).
4.1. C
ONOCIMIENTOS DE LA EMPRESA, SU ACTIVIDAD Y LOS RIESGOS
ASOCIADOS
4.1.1. Consulta a todas las partes interesadas
El desarrollo se inicia con una reflexión acerca de la organización y su negocio y con la

identificación de las tareas y procesos críticos.
El objetivo es incardinar cada actividad en el entramado de flujos técnicos y financieros

de la empresa para, una vez establecidas las correspondientes dependencias, identificar las vul-
nerabilidades potenciales y sus posibles consecuencias a lo largo de la organización. A conti-
nuación, cada uno de estos factores debe ser evaluado, es decir, debe ser asociado con medidas
expresivas de la verosimilitud de los eventos descritos, de su impacto económico y de las ano-
malías que pueden inducir en otros procesos.
Es importante comprender que esta evaluación no debe restringirse a la experiencia his-

tórica, ya que muchos de los eventos relevantes pueden tener frecuencias reducidas o, incluso,
no haberse presentado nunca con anterioridad.
La fase de comunicación y consulta de todas las partes interesadas, tanto internas como
externas a la organización, se debe realizar a lo largo de todo el proceso de gestión de los riesgos.
Este proceso de comunicación y consulta ayudará a realizar un ejercicio más real y exacto
tanto en el establecimiento del contexto como en la identificación de los riesgos o en su aná-
lisis y evaluación. En este proceso se puede reunir a diferentes áreas de la organización para
hacerse una idea más completa del contexto y de los riesgos, así como de su tratamiento. Se
deberá contar también con todas las opiniones y tenerlas en cuenta a la hora de la definición de
los criterios de riesgo y de su evaluación.
│ Sumario
DE COMPLIANCE 10
La descripción de los procedimientos y la identificación de los riesgos se realizarán a par-

tir de la información recopilada a través de cuestionarios y entrevistas personales. Los objeti-
vos en esta fase son identificar los factores de riesgo y los controles actualmente establecidos
para mitigarlos.
En cada área objeto de análisis es necesario realizar un trabajo de investigación previo

para recabar evidencias acerca de las actividades que se realizan y los principales riesgos que
se derivan de ellas:
• Documentos internos, como procedimientos escritos, presupuestos, planes de acti-

vidad, etc.
• Informes de auditores internos y/o externos.
• Procedimientos de control interno.
• Revisiones de políticas y procedimientos.
• Análisis de nuevos productos.
• Sistemas de información.
Los responsables de las distintas áreas tienen un conocimiento directo de los procesos y
de sus posibles riesgos. En las entrevistas deben obtenerse detalles acerca de las actividades
sensibles, las fuentes de riesgo a las que está expuesta el área y la eficacia de los mecanismos
de control interno existentes para mitigar los riesgos.
Resulta difícil establecer pautas porque estas van a depender tanto de factores organizati-
vos como individuales, pero no hay que vincularlo con evaluar la calidad de la gestión del área.
En el transcurso de las entrevistas deberemos recabar la mayor información posible y apoyarla
con la documentación existente:
• Identificación y descripción de las principales tareas realizadas.

• Existencia de manuales, normativa, procedimientos escritos, así como tratar de
identificar sus carencias. Información manejada (datos, cifras, ratios, interna o
externa).
• Errores y fallos más frecuentes.
• Motivos de pérdidas.
• Posibles indicadores de riesgo.
• Estadísticas utilizadas, tanto de trabajos efectuados como de problemas (transac-
ciones, errores, reclamaciones, pérdidas, coberturas, objetivos, tiempos por tarea
o actividad, etc.).
• Coberturas de seguro.
4.1.2. Conocimiento de la organización
El primer paso necesario, antes de entrar a identificar, analizar y evaluar los riesgos, es
conocer muy bien la organización y su contexto, analizando y entendiendo de forma completa
todos los factores internos y externos que la impactan.
Sumario │
DE COMPLIANCE 11
El objetivo es identificar las distintas áreas y actividades de la empresa y los principales

riesgos que se derivan de cada una de ellas.
A continuación vamos a ir repasando algunos de los principales factores, internos y exter-

nos, que será necesario analizar en esta fase del proceso de gestión de riesgos de compliance.
A) Gobierno y estructura de la organización
Para comprender el contexto es esencial conocer y entender bien, en primer lugar, el

gobierno y la estructura interna de la organización. En particular, es muy relevante entender
cuál es el proceso de toma de decisiones y quiénes son las personas responsables de adoptarlas
en cada caso. Para ello, entre otros aspectos, deberemos analizar los siguientes:
• Estructura societaria y propiedad. Incluyendo la forma jurídica que adopta la

organización (sociedad limitada, sociedad anónima, etc.); la composición de la pro-
piedad de la empresa; el órgano de administración (composición, frecuencia de sus
reuniones, etc.); y las relaciones con la matriz, en caso de grupos empresariales.
• Estructura organizativa. Incluyendo el número y perfil de los empleados; el orga-
nigrama (equipo directivo, áreas y departamentos, funciones de cada área, líneas
jerárquicas existentes, etc.); los órganos y comités existentes (composición, com-
petencias, frecuencia de sus reuniones, etc.); el proceso de toma de decisiones; la
relación de las personas con poderes y autorizadas para tomar riesgos; las atribu-
ciones y competencias de los directivos; los procesos detallados de toma de deci-
siones, en caso de grupos corporativos; y el grado de implicación de las estructuras
corporativas de la matriz en la toma de decisiones y en los órganos internos de la
empresa.
B) Actividad de la organización
Para comprender el contexto, es necesario que entendamos bien la actividad de la organi-

zación, es decir, a qué se dedica y cómo desarrolla sus objetivos. Entre otros aspectos, debe-
remos analizar los siguientes:
• Características de la actividad. Incluyendo el objeto social; todas las activida-

des que se realizan; los productos que se ofrecen y los servicios que se prestan;
los canales de distribución que se utilizan (puntos de venta, agentes, distribuido-
res, canales a distancia, etc.); y las zonas geográficas en las que se actúa.
• Partes interesadas (stakeholders). Es decir, las personas físicas y jurídicas con
las que la organización se relaciona en el ejercicio de sus actividades, incluyendo
los accionistas, los socios, los proveedores de bienes o servicios, los clientes y los
ciudadanos, en general.
• Relaciones con las Administraciones públicas, tanto nacionales como inter-
nacionales. Incluyendo si la organización tiene necesidad de disponer de licen-
cias o autorizaciones administrativas previas para poder ejercer su actividad; los
contratos con Administraciones públicas; y las ayudas o subvenciones recibidas
de Administraciones públicas.
│ Sumario
DE COMPLIANCE 12
• Procesos operativos. Incluyendo el detalle de todos los procesos operativos que

existen, las personas que intervienen en cada uno de ellos y las tareas que se rea-
lizan; y el detalle de los flujos económicos existentes, así como los departamentos
y las personas que intervienen.
• Actividades de riesgo. Como, por ejemplo: realizar actividades con impacto
medioambiental; recibir o realizar pagos en metálico de forma habitual; manejar
explosivos, sustancias inflamables o corrosivas o sustancias tóxicas y asfixiantes;
manejar materiales que emitan radiaciones ionizantes; manejar información privi-
legiada de empresas cotizadas; manejar de datos personales de personas físicas; o
tener antecedentes de imputación penal de empleados, directivos o administradores.
C) Normativa de aplicación
Uno de los elementos fundamentales del establecimiento del contexto para la gestión de
los riesgos de compliance es el análisis del entorno regulatorio de la organización y del con-
junto de leyes y normas, tanto internas como externas, que le son de aplicación. Entre otros
aspectos, deberemos analizar los siguientes:
• La legislación aplicable. Incluyendo las leyes y otras normas legales que son de
aplicación a la organización, así como las circulares, guías y recomendaciones de
los supervisores.
• Las normas internas. Incluyendo las políticas internas, los manuales y procedi-
mientos internos y los códigos de conducta.
• Las normas y los estándares nacionales e internacionales (aplicables a la acti-
vidad de la organización) y los certificados de estandarización (emitidos por
terceros independientes).
D) Prioridades de los reguladores y supervisores
En el caso de empresas que actúen en sectores regulados, es muy importante conocer tam-
bién cuáles son las prioridades de los reguladores y supervisores competentes.
Dichas prioridades pueden cambiar periódicamente en función de determinados facto-

res de riesgo o de otras cuestiones, por lo que se deberá actualizar la información y estar per-
manentemente atentos a las publicaciones y anuncios al público y a la industria que realizan
dichos organismos.
E) Competencias de la función de compliance
Por último, es importante y necesario delimitar las competencias y las áreas dentro de
la organización que están bajo la responsabilidad de la función de compliance. Estas no son
siempre las mismas y varían en cada empresa u organización en función de una variada can-
tidad de factores.
Las áreas que típicamente están bajo la responsabilidad de compliance son aquellas rela-
cionadas con las normas de conducta.
Sumario │
DE COMPLIANCE 13
4.2. EVALUACIÓN DEL RIESGO DE COMPLIANCE
La evaluación de los riesgos pasa por realizar primero una identificación de los riesgos
para a continuación desarrollar una metodología para medirlos y priorizarlos y finalizar el pro-
ceso con una evaluación del modelo de control interno, identificando la parte del riesgo total
que no está sometida a medidas de mitigación.
El marco para la evaluación de los riesgos está muy bien definido en la norma ISO 31000.
Figura 2. Marco para la evaluación de riesgos
Establecimiento del contexto
Apreciación de los riesgos

Apreciación
de los riesgos
Comunicación y consulta
Identificación de los riesgos
Seguimiento y revisión
Análisis de los riesgos
Evaluación de los riesgos
Tratamiento de los riesgos
Fuente: UNE-ISO 31000, «Gestión del riesgo. Principios y directrices», 2009.
4.2.1. Identificación de los riesgos de compliance
Una vez analizado el contexto y conocidos a fondo todos los aspectos de la organización,
se debe pasar a realizar la identificación de los riesgos de compliance, es decir, el listado deta-
llado de los acontecimientos o de los escenarios que, en caso de que sucedieran, podrían dar
lugar a pérdidas económicas, financieras o reputacionales en la organización. Los riesgos típi-
cos del área de compliance son los siguientes:
• Programas de prevención de riesgos penales empresariales.

• Códigos éticos o de conducta.
• Prevención de blanqueo de capitales y de financiación del terrorismo.
• Normas de conducta en los mercados de valores.
│ Sumario
DE COMPLIANCE 14
• Prevención del fraude y la corrupción.

• Prevención de conflictos de intereses.
• Canal de denuncias interno.
• Contactos con reguladores y supervisores.
• Prevención del riesgo reputacional.
• Supervisión de la gestión de reclamaciones de clientes.
• Prevención del abuso de mercado.
• Protección de datos.
• Defensa de la libre competencia.
• Transparencia y buenas prácticas publicitarias.
Lógicamente, no todos los riesgos llegan a materializarse; de hecho, muy pocos llegan a
hacerlo, pero sí es importante identificarlos, analizarlos y evaluarlos. Este ejercicio es una de las
actividades más importantes y sensibles del compliance officer, ya que cualquier error de aprecia-
ción en este punto puede tener consecuencias muy negativas en las siguientes fases del proceso
y en la eficacia de la función de compliance en su globalidad.
Como hemos indicado anteriormente, la identificación de los riesgos de compliance debe

hacerse con base en el conocimiento que se tiene de la organización, pero también a través de
la comunicación con todas las partes interesadas, internas y externas, así como de los resulta-
dos de las revisiones, monitorizaciones o auditorías que se hayan realizado. Las reclamaciones
de los clientes o las denuncias recibidas por el canal de denuncias son también fuentes valiosas
para la identificación de potenciales riesgos en la organización.
Por otro lado, se trata de un ejercicio que debe ser dinámico y no estático. El universo de
riesgos de compliance debe ser actualizado siempre que se identifique un nuevo riesgo y, en
todo caso, debería realizarse un ejercicio de verificación periódica (al menos una vez al año)
para comprobar o descartar que existan nuevos riesgos que no estén ya identificados.
El universo de riesgos de compliance varía en cada organización en función de su acti-

vidad, su tamaño, las áreas geográficas en las que opera y otros factores. Por ello, se debería
hacer un ejercicio exhaustivo en el que el compliance officer debe plantearse cuestiones rele-
vantes que le ayuden a realizar el ejercicio de identificación de riesgos.
Cuadro 1. Ejemplo de taxonomía de riesgos
Protección de
FCPA Antitrust Insider trading Privacidad
activos
Controles de Retención de Seguridad de Compensaciones

Reporte
exportación documentación información y bonos
Discriminación Integridad Contratos con

Sarbanes Oxley HSE
y acoso laboral financiera el gobierno
Propiedad Uso de la 3rd Party Prácticas

Ética
intelectual tecnología management comerciales
Sumario │
DE COMPLIANCE 15
4.2.2. Análisis de los riesgos. El riesgo inherente
Una vez identificados y listados los riesgos de compliance de la organización, se debe

proceder a su análisis.
El riesgo se analiza determinando su impacto y su probabilidad y, para ello, vamos a intro-

ducir el concepto del «riesgo inherente». En esta fase deberemos evaluar el riesgo inherente
de cada uno de los riesgos que componen el universo de riesgos de la organización. Se trata de
delimitar, dentro del riesgo inherente, el riesgo residual como aquel riesgo que está asumiendo
la empresa en una actividad y momento concreto a pesar de los controles existentes.
Los cuatro elementos que debemos tener en cuenta a la hora de determinar el riesgo aso-
ciado a un incumplimiento son:
• Amenaza. La situación que, en caso de producirse, producirá el impacto.

• Probabilidad. Frecuencia con la que puede ocurrir la amenaza.
• Vulnerabilidad. Falta de una medida previa para evitar la amenaza.
• Impacto. Efecto directo o indirecto causado por la amenaza.
El riesgo inherente es el riesgo que, por su naturaleza, no se puede separar de la actividad

que realiza la organización, es decir, el riesgo intrínseco a sus distintas actividades y áreas de
negocio, sin considerar los sistemas de control que se hayan implantado. El riesgo inherente se
mide, por tanto, por el cruce de dos parámetros: impacto y probabilidad:
• Impacto. Se refiere a las consecuencias de cualquier tipo (económicas, financieras,

patrimoniales, reputacionales, etc.) que tendría el evento de riesgo si se llegara a
producir.
• Probabilidad. Se refiere a la expectativa puramente teórica de que se produzca el
evento de riesgo sin considerar las medidas mitigantes que puedan estar implan-
tadas o que se puedan implantar y teniendo en cuenta exclusivamente las carac-
terísticas y el contexto de la organización, es decir, el sector económico en el que
opera, las actividades que realiza, las zonas geográficas en las que presta sus acti-
vidades, el tamaño y otras características relevantes.
Cada organización dispondrá de sus propios procedimientos internos para medir el riesgo
inherente en función de su impacto y probabilidad.
En el impacto, deberemos tener en cuenta los siguientes factores:
• Multa en proporción al daño/cuantía del delito.

• Disolución de la persona jurídica.
• Suspensión de sus actividades.
• Clausura de sus locales.
• Prohibición temporal o definitiva de realizar las actividades en cuyo ejercicio se
haya cometido el delito.
│ Sumario
DE COMPLIANCE 16
• Inhabilitación para obtener subvenciones y ayudas públicas, para contratar con el

sector público y para gozar de beneficios e incentivos fiscales.
• Intervención judicial para salvaguardar los derechos de los trabajadores o de los
acreedores.
Tenemos que ser capaces de cuantificar en una determinada escala el impacto que puede
suponer para la empresa cada uno de los riesgos; para ello, deberemos determinar las fuentes
del impacto y el valor para cada uno de ellos.
Debemos elaborar un cuadro similar al siguiente:
Cuadro 2. Determinación del impacto
Score 1 2 3 4 5
Multas, daños
< 1 % de 1 % al 3 % de 3 % al 5 % de 5 % al 10 % de > 10 % de
e indemniza-
las ventas. las ventas. las ventas. las ventas. las ventas.
ciones
Cobertura
Cobertura Cobertura en
Impacto negativo sustancial en
Sin exposición en medios o medios o
Reputacional localizado pero medios o
o daño. reguladores reguladores
recuperable. reguladores
local. nacional.
nacional.
Sin pérdida Visible pero Daños a clientes Impacto

Impacto severo
Operacional de negocios u gestionable o grupos catastrófico
a la performance.
operaciones. fácilmente. de interés. a la BU.
Tabla 1. Ejemplo de matriz de riesgo inherente
Riesgo inherente = probabilidad × impacto
Impacto Alto M A A
Medio B M A
Bajo B B M
Baja Media Alta
Probabilidad
El riesgo inherente es el punto de partida necesario para proceder a la evaluación de cada

uno de los riesgos, de ahí la importancia de que se realice de forma rigurosa y concienzuda.
En el proceso de cuantificación y priorización de los riesgos debemos tener en cuenta

estos mismos elementos.
Sumario │
DE COMPLIANCE 17
A) Prioridad
La prioridad es una medida de la repercusión potencial de cada factor de riesgo. Esta rele-
vancia se evalúa a través de dos indicadores: su importancia y la probabilidad de ocurrencia
de los eventos.
La importancia es una calificación de la trascendencia de cada factor de riesgo en

relación con el conjunto de riesgos del área al que pertenece y de acuerdo con la pérdida
máxima que, se estima, se podría llegar a producir sin considerar los controles estableci-
dos (estos últimos se evalúan posteriormente y en ese momento se les asignará un grado de
cobertura del riesgo).
Los elementos que hay que manejar para la evaluación de la importancia son:
• Trascendencia con respecto al conjunto de riesgos del área. Se debe llevar a

cabo una reflexión sobre cuál de los riesgos que afectan al área es el más signifi-
cativo, al que daríamos la importancia más alta y, partiendo de este máximo, cla-
sificar el resto.
• Magnitud de la posible pérdida. Hay que tratar de proyectar el mayor que-
branto que presumiblemente podría llegar a producirse sin tener en cuenta
los controles existentes, es decir, asumiendo que no existe gestión alguna del
riesgo. Esta evaluación no debería basarse exclusivamente en las cifras de pér-
didas ya realizadas o históricas (contabilizadas) ni en las estimadas a partir de
las anteriores.
B) Probabilidad
Es una medida de la verosimilitud estimada de que el riesgo se materialice en una pérdida.

Aquí hemos de considerar la frecuencia con la que teóricamente podrían llegar a producirse
pérdidas de no existir controles que mitiguen los riesgos en función de las evidencias históri-
cas que puedan existir y de juicios expertos.
Con las salvedades efectuadas en el epígrafe anterior, respecto a la realización de una escala
común a todas las áreas, una posible clasificación es la mostrada en el cuadro 3.
Ejemplo de escala de niveles de probabilidad:
• Muy alta. Se espera que ocurra en la mayoría de las circunstancias.

• Alta. Probablemente ocurrirá en la mayoría de las circunstancias.
• Media. Puede ocurrir en algún momento.
• Baja. Podría ocurrir en pocas circunstancias.
• Muy baja. Puede ocurrir solo en ocasiones excepcionales.
Al igual que para el impacto, debemos realizar una cuantificación de la probabilidad de

que ocurra cada uno de los riesgos.
│ Sumario
DE COMPLIANCE 18
Cuadro 3. Determinación de la probabilidad
Score 1 2 3 4 5
Incidentes Incidentes
Descripción Casi imposible. Rara Posible.
aislados. repetitivos.
< Una vez < Una vez Una vez
Tiempo Una vez al año. Una vez al mes.
cada cinco años. cada año. a la semana.
Probabilidad < 1 % 1 % al 5 % 5 % al 10 % 10 % al 20 % > 20 %
Tabla 2. Probabilidad e impacto

Impacto
FCPA
5
Trade Reg. (UE) n.º

4
Restrictions 428/2009
Reg. (UE) n.º

3
649/2012
OFAC
2
Anti-Boycott
Aduanas i
1
1 2 3 4 5 Fq
3. VALORACIÓN AJUSTADA AL CONTROL INTERNO
La aplicación de los criterios anteriores proporciona una calificación inicial para cada
riesgo inherente al margen de los mecanismos de control interno. La evaluación inicial debe
ajustarse en función de la efectividad y el grado de cobertura que ofrecen dichos mecanismos,
medidos en una escala cualitativa:
• Total. Los controles establecidos eliminan prácticamente la probabilidad de ocu-

rrencia y/o impacto del riesgo inherente, que se reduce a muy bajo.
• Alta. Los controles establecidos limitan significativamente la probabilidad de ocu-
rrencia y/o impacto del riesgo inherente, que se reduce a bajo.
• Media. Los controles establecidos limitan, pero no drásticamente, la probabilidad
de ocurrencia y/o impacto del riesgo inherente, que se reduce a bajo.
Sumario │
DE COMPLIANCE 19
• Baja. Los controles establecidos muestran debilidades significativas que impiden

que sean efectivos en un elevado número de ocasiones, por lo que se mantiene la
calificación inicial del riesgo inherente.
• Muy baja. Prácticamente se produce una inexistencia de controles o bien los exis-
tentes no son en absoluto efectivos, por lo que se mantiene la calificación inicial
del riesgo inherente.
La combinación de valores de importancia, probabilidad y cobertura de los controles asig-

nados a cada factor de riesgo de la forma que se ha descrito anteriormente determina su cla-
sificación en uno de los niveles de riesgo definidos en el mapa de riesgos y que se identifican
mediante un color diferente:
• Rojo. Riesgo alto.

• Naranja. Riesgo medio-alto.
• Amarillo. Riesgo medio.
• Verde. Riesgo bajo.
Esta información puede sintetizarse en un mapa semántico, construido con la combinación

de un gráfico tabular con un código de color basado en la importancia relativa y la probabili-
dad de ocurrencia de los eventos.
Efectuada la evaluación cualitativa de cada uno de los factores de riesgo hay que agrupar
los resultados según la tipología de riesgos que hemos definido para determinar la exposición
a cada uno de esos factores. Cada intervalo viene definido por el cumplimiento de la condición
numérica establecida. La asignación de los resultados entre los distintos intervalos se va reali-
zando en cascada, en orden de mayor a menor nivel de riesgo.
El resultado de la identificación y el análisis de los riesgos de compliance deberá ser con-

venientemente documentado. En la plantilla en la que queden documentados los distintos ries-
gos identificados y sus correspondientes riesgos inherentes se pueden añadir todos los aspectos
que se consideren convenientes para completar o enriquecer la información.
Este documento deberá ser objeto de revisión y verificación periódica, por ejemplo, una
vez al año, con objeto de determinar si existen riesgos adicionales que no se habían conside-
rado, que habría que añadir, o si hubiera que modificar el análisis de los que se han identificado,
ajustando su impacto o probabilidad.
4. EVALUACIÓN DE LOS RIESGOS
Con base en los resultados del análisis del riesgo, la finalidad de la evaluación del riesgo
es ayudar a la toma de decisiones, determinando los riesgos que se deben tratar y la prioridad
para implementar el tratamiento.
La principal finalidad de realizar la evaluación de los riesgos es, por tanto, disponer de
una herramienta que nos permita tomar decisiones en cuanto al tratamiento de los riesgos, es
decir, decidir en cada caso si hay que actuar o no, qué tipo de actuación tenemos que realizar,
con qué urgencia o prioridad se debe actuar, etc.
│ Sumario
DE COMPLIANCE 20
4.1. EL CONCEPTO DE «APETITO DE RIESGO»
Un concepto importante que es necesario conocer y entender cuando se está gestionando el

riesgo de compliance, especialmente en la fase de evaluación del riesgo, es el de «apetito de riesgo».
Como bien sabemos, el riesgo cero absoluto no existe; siempre hay un umbral tolerable
de riesgo que las organizaciones están dispuestas a asumir. Pero ello no quiere decir que esta
asunción del riesgo se haga de forma inconsciente o desordenada, sino que debe hacerse de
forma consciente y bien documentada.
El apetito de riesgo se puede definir como la cantidad de riesgo, a nivel global, que la admi-
nistración y la dirección de una organización están dispuestas a aceptar en su búsqueda de valor.
El documento Enterprise Risk Management Integrated Framework, publicado por COSO,

define el apetito de riesgo como sigue:
«La cantidad de riesgo, a nivel global, que una entidad está dispuesta a acep-
tar en su búsqueda de valor. Refleja la filosofía de gestión del riesgo de la entidad y
al mismo tiempo influye en la cultura y el estilo en el que opera […] El apetito de
riesgo determina la asignación de recursos […] El apetito de riesgo ayuda a alinear
la organización, las personas y los procesos para diseñar la infraestructura necesaria
para responder y monitorizar los riesgos de forma efectiva».
Otro concepto relacionado con el anterior es el de tolerancia al riesgo. La tolerancia al riesgo

establece los umbrales aceptables de variabilidad en el desempeño en relación con el apetito de
riesgo y los objetivos que se persiguen. Por ejemplo, una organización puede tener un bajo ape-
tito de riesgo hacia el incumplimiento de las leyes y normas legales y puede tener una tolerancia
cero al riesgo de determinadas violaciones de la ley y una tolerancia ligeramente superior hacia
violaciones de otros preceptos legales.
Figura 3. Resumen del proceso de gestión de riesgos
Eventos que afectan los ries- Impacto: costo más pro-

gos del universo compliance bable de no compliance
2.
1. Evaluación de
Identificar riesgos impacto y
frecuencia Frecuencia: probabilidad
de darse los factores de
riesgos al momento del
Reevaluación Seguimiento
Criticidad análisis en un horizonte
frecuente Watch-List
de tiempo
4. 3. Criterio para decidir qué

Planes de Priorización eventos son más críticos
mitigación Alta criticidad de riesgos de controlar (mapa)
Seguimiento del progreso

de los planes de acción
Sumario │
DE COMPLIANCE 21
5. DEFINICIÓN DE LOS CONTROLES: MAPA DE CONTROLES
En nuestro proceso de diseñar un modelo de gestión del riesgo de compliance, una vez que
hemos identificado y evaluado cada uno de los riesgos debemos incorporar a nuestro modelo
los controles que nos van a ayudar a mitigar cada uno de ellos.
La siguiente fase será la evaluación de su eficacia para determinar el nivel de riesgo asu-
mido por la empresa.
5.1. DESCRIPCIÓN DE LOS CONTROLES
Los distintos controles que se pueden implantar pueden ser controles de prevención, de detec-
ción o de reacción. Los controles de prevención son controles ex ante, es decir, se implementan antes
de que suceda el riesgo potencial para intentar evitarlo o mitigarlo. Sin embargo, los controles de
detección o de reacción se implementan ex post, es decir, una vez que el riesgo se ha materializado,
pero ayudan también a tomar decisiones para evitar que se puedan volver a producir en el futuro.
En el siguiente cuadro encontramos los cuatro tipos de controles que podemos encontrar-
nos en nuestro mapa.
Cuadro 4. Tipos de controles
Prevención
• Mapa de riesgos con planes de acción.

• Políticas con controles preventivos (aprobaciones, SoD, manuales y automáticos, ambien-
te/ciclos).
• Entrenamiento y difusión.
Detección
• Compliance audits (propias o de reguladores).

• Revisión de litigios, seguros, sanciones y reclamos.
• Análisis de denuncias compliance help line.
Respuesta
• Protocolo de disciplina.
• Comunicación de fraudes.
• Denuncias a la justicia.
Supervisión y monitorización
• Monitorización del modelo de prevención de delitos.

• Actualización del modelo.
Entre los distintos controles que se pueden implantar para gestionar los riesgos de com-
pliance podemos citar los siguientes:
│ Sumario
DE COMPLIANCE 22
A) Políticas y procedimientos
Las políticas y procedimientos de compliance son normas internas de la empresa que pue-
den venir motivadas por obligaciones legales o establecerse como controles internos voluntarios
en la empresa. Las políticas de compliance contienen pautas de actuación en distintos ámbitos
(prevención de conflictos de intereses, canal de denuncias interno, prevención del blanqueo de
capitales, prevención del uso de información privilegiada, segregación de funciones, seguridad
de la información, etc.) que deben ser respetadas por todos los empleados y directivos de la
organización. Se formulan con objeto de prevenir los riesgos de compliance y deben ser apro-
badas por la alta dirección de la entidad. Al responsable de compliance le corresponde propo-
nerlas, difundirlas, supervisarlas y monitorizar su cumplimiento.
B) Formación
La formación del personal en las materias propias de compliance, incluyendo las normas
legales que les son de aplicación, las políticas internas, los códigos de conducta, etc., constituye
un eficaz control de prevención, ya que ayuda a que los miembros de la organización conozcan las
pautas con las que deben actuar y sean conscientes de las consecuencias de los incumplimientos.
C) Controles organizativos y de procesos
Existen numerosos controles organizativos y de procesos que se pueden implantar para

prevenir los riesgos de compliance, tales como las obligaciones de segregación de funciones,
las dobles firmas, los procesos internos de aprobación, los controles en los sistemas de retribu-
ción variable de los empleados y directivos, los dobles chequeos por distintas personas en los
procesos, las medidas de diligencia debida, etc.
D) Indicadores de riesgo
Los indicadores de riesgo constituyen un control de detección y una herramienta útil para
evaluar el estado de un riesgo determinado que, por cualquier razón, interese seguir más de
cerca. Sirven para medir «la temperatura» de un riesgo de forma periódica y constante. Su defi-
nición y el establecimiento de los umbrales de tolerancia son factores clave a la hora de extraer
conclusiones fiables. Los indicadores de riesgo que se definan variarán en función, entre otros
factores, del tipo de negocio que se trate, del marco regulatorio aplicable, de las prioridades de
los supervisores o de otras situaciones coyunturales relevantes.
Una vez definidos, los indicadores se deberán medir con una periodicidad corta, por ejem-
plo, una vez al mes, y se irá monitorizando su evolución. Cuando el resultado de la medición
de un indicador de riesgo se distancie del umbral de tolerancia que previamente se haya defi-
nido, se deberá vigilar más de cerca y, si la desviación persiste en las siguientes mediciones,
este hecho supondrá una señal de alarma que permitirá identificar y corregir posibles deficien-
cias de controles en un estadio muy temprano.
E) Monitorización de compliance
Las revisiones de compliance sobre potenciales riesgos o controles constituyen también

controles de detección eficaces que analizaremos con detalle en la unidad 10.
Sumario │
DE COMPLIANCE 23
F) Análisis de las reclamaciones
Las reclamaciones de clientes, proveedores y otras partes interesadas son una fuente muy
válida para detectar posibles fallos de control o malas prácticas en la organización. Para ello,
es necesario analizarlas y buscar la causa raíz de aquellas reclamaciones que sean reiterativas
o que se produzcan repetidamente en un periodo.
G) Canal de denuncias
El canal de denuncias interno y las investigaciones derivadas de las denuncias de prácti-

cas irregulares también son controles válidos para detectar fallos de control en la organización.
H) Medidas disciplinarias e incentivos
Las consecuencias para los miembros de la organización que tienen las prácticas irregula-
res y los incumplimientos de las normas, en forma de medidas disciplinarias o de otro tipo, así
como las medidas favorables e incentivadoras que puedan tener las conductas positivas, tam-
bién son controles de reacción eficaces para prevenir los riesgos.
En el ejercicio de identificación de los controles es necesario también identificar a los res-

ponsables de su ejecución (control owners). Normalmente, las personas responsables de la eje-
cución de los controles no pertenecen al departamento de compliance, aunque en algún caso
concreto pueda ser así, sino que pertenecen a las áreas de operaciones o de negocio en las que se
ejecutan los procesos vinculados al control. Por ello, es muy conveniente identificar y documen-
tar al lado de cada control quiénes son las personas y departamentos responsables del mismo.
5.2. EVALUACIÓN DE LOS CONTROLES
Una vez identificados y definidos los controles asociados a cada riesgo, es necesario pro-
ceder a su evaluación, analizando su diseño y la efectividad de su funcionamiento.
Los controles pueden ser automáticos o manuales; los primeros son más seguros y robus-
tos que los segundos, si bien cada control se debe diseñar de forma adecuada y proporcional
al riesgo que pretenden prevenir.
En ocasiones, aunque el control esté bien diseñado, su funcionamiento puede no ser eficaz
debido a deficiencias en la forma en la que se esté ejecutando. De la misma manera, un control
puede estar siendo ejecutado correctamente pero estar mal diseñado, por lo que su efectividad
global será deficiente.
Atendiendo al diseño y a la efectividad del funcionamiento de los controles, estos se pue-

den evaluar, por ejemplo, como:
• Débil. No existe control o existen deficiencias muy significativas en su diseño.

• Limitado. Existe algún control pero, o bien su diseño no es adecuado para miti-
gar el riesgo inherente, o el control no está siendo ejecutado correctamente.
│ Sumario
DE COMPLIANCE 24
• Fuerte. Existe un control adecuadamente diseñado y que se ejecuta correctamente,

pero depende de intervenciones humanas.
• Automatizado. Existe un control adecuadamente diseñado y que se ejecuta correc-
tamente e incorpora controles automáticos robustos.
El resultado de la identificación y análisis de los controles deberá ser convenientemente
documentado. Cada control se aplicará para prevenir uno o varios de los riesgos identificados
y, de la misma forma, un mismo riesgo puede tener asociados varios controles diferentes, tanto
de prevención como de detección o de reacción.
Como continuación, o como parte de ese mapa de riesgos, debemos incorporar los con-
troles que se aplican a cada uno de los riesgos de forma que pueda acreditarse su seguimiento.
Para cada uno de los controles, debemos incorporar la siguiente información:
• Descripción del control. Deberá incluir la denominación y el detalle del riesgo al

que va asociado el control. Incorporaremos un detalle del control que se va a aplicar.
• Tipo de control. Se indicará la fórmula utilizada para prevenir el riesgo, ya sea
un ámbito de prevención o ya sea la detección/reacción a un determinado riesgo.
• Resultado del control. Debemos recoger dos elementos fundamentales: si el
diseño del control es correcto y si su aplicación ha sido efectiva.
• Responsable de la ejecución del control. Tanto en su diseño como en su aplicación.
• Frecuencia de ejecución del control.
• Evidencias disponibles de la ejecución del control.
vez al año, con objeto de determinar si existen controles adicionales que no se habían consi-
derado, añadir nuevos controles que se hayan implementado durante el periodo o actualizar la
efectividad de los controles que se hayan mejorado o que se hayan deteriorado, tanto en cuanto
a su diseño o como a su funcionamiento.
En la guía sobre gestión del riesgo de la OCDE se muestra a modo de ejemplo cómo debe
aplicarse este proceso.
Cuadro 5. Control del riesgo
Location/Region: ABC Business Unit XYZ
Corruption Risk Factor Local business climate.
Corruption Risk Bribery of a government officials.
Potential improper payments to governmet officials in order to obtain

Corruption Scheme
permits.
Probability Medium.
Potential Impact High.
.../...
Sumario │
DE COMPLIANCE 25
Location/Region: ABC Business Unit XYZ
.../...
Inherent Risk High.
• Global Anti-Corruption Policy and Procedures, including specific

content on payments to government officials.
• Anti-corruption training for employees that is tailored for select re-

Anti-Corruption Controls
gions and key functions.
• Global whistleblower hotline.
• Annual anti-corruption audits on payments to government officials.
Control Risk Rating Effective.
Residual Risk Rating Medium.
5.3. RIESGO RESIDUAL
El riesgo residual se puede definir como el riesgo resultante que queda tras haber apli-
cado los controles y las medidas de prevención diseñadas, que estarán asociadas a cada uno
de los riesgos.
Dependiendo de la cantidad, de la robustez y de la calidad de los controles, el riesgo inhe-

rente se reducirá en una proporción mayor o menor y dará como resultado un determinado
riesgo residual.
El riesgo residual es el riesgo que la organización está aceptando asumir y, por lo tanto,
debe ser necesariamente conocido y aceptado por los órganos de administración y dirección.
Cada organización dispondrá de sus propios procedimientos internos para medir el riesgo resi-
dual, como cruce entre el riesgo inherente y la efectividad de los controles asociados a cada riesgo.
Tabla 3. Ejemplo de matriz de riesgo residual
Riesgo residual = riesgo inherente × efectividad del control
Riesgo Alto M M A A
inherente
Medio B M M A
Bajo B B M M
Automatizado Fuerte Limitado Débil
Efectividad del control
De la misma manera que se hizo con el riesgo inherente, el resultado de la evaluación del riesgo
residual deberá ser convenientemente documentado. En la plantilla en la que queden documenta-
dos los distintos riesgos identificados y sus correspondientes riesgos residuales se pueden añadir
todos los aspectos que se consideren convenientes para completar o enriquecer la información.
│ Sumario
DE COMPLIANCE 26
Este documento final de riesgos debe incorporar el resultado final de todo el proceso de
evaluación partiendo de la propia denominación del riesgo y del detalle del escenario de riesgo
concreto que se está analizando. Deberá recoger la información sobre el impacto, la probabili-
dad y el riesgo inherente resultante.
Se completará con la información resultante del mapa de controles asociados a cada riesgo
incorporando el detalle de los controles que se aplican y la efectividad del diseño y del fun-
cionamiento de los controles y acabará con la información sobre el riesgo residual resultante.
vez al año, con objeto de modificar el estado del riesgo residual que por cualquier razón se
hubiera visto alterado.
Figura 4. Riesgo propio de una actividad sin ningún control
Impacto
350
Riesgo
300
l1
inherente
ro
nt
Co
250
Decisión para la cual
construimos el mapa Riesgo
200 residual al
análisis
l2
Asegura la mejora
ro
nt
continua de los controles

Co
150
Riesgo
residual con
100 tratamiento
adicional
50
0
0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 %
Probabilidad
6. TRATAMIENTO DE LOS RIESGOS
El tratamiento de los riesgos implica la decisión sobre las opciones que podemos imple-
mentar para mitigarlos. Supone un proceso cíclico de:
• Evaluación.
• Decidir si el nivel de riesgo residual es tolerable.
• Si no es tolerable, generar un nuevo tratamiento del riesgo y evaluar la eficacia
del tratamiento.
Sumario │
DE COMPLIANCE 27
Las posibilidades que se abren a la dirección de una organización a la hora de decidir

cómo se van a tratar los riesgos –tras haberlos identificado, analizado y evaluado– no se exclu-
yen necesariamente unas a otras ni todas son apropiadas en todas las circunstancias, por lo que
habrá que tomar una decisión caso a caso.
Las opciones pueden incluir lo siguiente:

• Evitar el riesgo decidiendo no iniciar o no continuar con la actividad que causa el

riesgo.
• Aceptar o incluso aumentar el riesgo con el objetivo de aprovechar una oportunidad.
• Eliminar la fuente del riesgo.
• Modificar la probabilidad del riesgo.
• Modificar las consecuencias.
• Compartir el riesgo con otras partes (incluyendo los contratos y la financiación
del riesgo).
• Retener el riesgo con base en una decisión informada.
En cualquiera de los casos, tendremos que realizar un ejercicio de análisis y de adopción

de decisiones con relación a la necesidad de implementar medidas adicionales, bien sea para
evitar el riesgo (impidiendo la realización de determinadas actividades), para reducirlo (eli-
minando la fuente del riesgo, reduciendo su probabilidad o su impacto), para compartirlo o
transferirlo (modificando contratos con terceras artes, suscribiendo pólizas de seguros) o para
aceptarlo (monitorizando su evolución).
Figura 5. Decisiones 4 T
Seguros outsourcing Cisnes negros:

Cláusulas de eventos remotos e Dejar de efectuar al
responsabilidad a imprescindibles con un actividad que afecta la
terceros efecto mayor sustentabilidad
Prevención
100 • CoCo y políticas.
90 • Separación de funciones.
Transferir Terminar • Autorizaciones.
80 • Formación, checklists.
Plan de To • Monitoreo y supervi-
70 ler
contingencia anc
ia sión.
60 Aplicar controles • Corporate defense como
preventivos y eximente
50 correctivos
Contingencia
40
Monitorear • Protocolo de crisis.
Tratar Plan de
30 frecuentemente para • Reporte a autoridades
asegurar que sigan en prevención (ej. fuga de información
20
«lo verde» personal).
10 • Investigación del canal
Tolerar de denuncia.
0 • Procedimiento de
0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % 100 % disciplina.
│ Sumario
DE COMPLIANCE 28
Este ejercicio de análisis se ha querido resumir en el ejercicio de las 4 T, resumiendo cada

una de ellas la actitud que podemos tener con cada uno de los riesgos:
• Tratar.
• Tolerar.
• Transferir.
• Terminar.
Este tratamiento se resume en la figura 5.
El tratamiento continuo de los riesgos incluye tareas tales como las siguientes:
• Realizar evaluaciones periódicas de los riesgos y controles.

• Establecer e implantar controles adicionales cuando sea necesario.
• Supervisar de forma continua los riesgos y controles (monitorización de
compliance).
• Establecer indicadores de riesgo (KRI) que permitan su monitorización permanente.
• Recomendar medidas de remediación de las deficiencias identificadas.
• Realizar el seguimiento de la implementación de las medidas de remediación
acordadas.
• Informar a la alta dirección sobre las deficiencias relevantes identificadas y las
principales incidencias en la implementación de medidas correctoras.
Así, cuando, por cualquier razón, por ejemplo, porque se incrementa la probabilidad o el
impacto del riesgo o porque se debilitan los controles, el riesgo residual supera el apetito de
riesgo de la organización, se abre la necesidad de implementar controles adicionales o de mejo-
rar la efectividad de los existentes.
De forma esquemática, podemos representar el proceso de la siguiente forma:
Figura 6. Tratamiento de los riesgos
Controles
Riesgo
inherente
Necesidad de implementar
Riesgo controles adicionales
residual Apetito
de riesgo
Sumario │
DE COMPLIANCE 29
En todo caso, las personas responsables de la toma de decisiones deberían estar entera-
das de la naturaleza y amplitud del riesgo residual después del tratamiento del riesgo. Como
hemos indicado anteriormente, el riesgo residual se debe documentar y someter a seguimiento
y revisión.
6.1. DISEÑO DE UN PLAN DE ACCIÓN

Es importante comprender que el diseño de un mapa de riesgos no es una tarea puntual,

sino un proceso continuo y retroalimentado cuya finalidad es contribuir al desarrollo de una
estrategia de mejora continua de los procesos y de los flujos de información y control existen-
tes en la empresa.
Toda opción de tratamiento que se considere debe ser evaluada atendiendo a la necesi-
dad de recursos y su eficiencia comparativa. Cuando el coste de implantación o mejora de los
controles es relativamente bajo en relación con la minoración del riesgo, es necesario definir
un plan de acción que permita reducir la probabilidad y/o el impacto de una potencial pérdida.
En esta tarea es imprescindible la implicación de los responsables de cada una de las áreas,
a quienes les incumbe plantear propuestas de mejora y elaborar un plan de acción especificando:
• Prioridad en la implantación de los controles, en función de su importancia por el

riesgo que cubrir y de la dificultad para su realización.
• Área responsable de su puesta en marcha.
• Las áreas afectadas por el riesgo o por las acciones de control y mitigación
propuestas.
• Fechas estimadas de inicio y finalización en función de las dificultades para su
implantación.
• Objetivos que conseguir con su realización.
• Prioridad de los planes de acción.
El análisis y medición del riesgo conlleva la aplicación de un cierto grado de subjetividad,

puesto que no solo está sometido a reglas cuantificables, sino que va a depender de la percep-
ción que se tenga en la empresa.
Para determinar cuáles son los planes de acción más necesarios y convenientes, hay que
establecer unos criterios de priorización que nos ayuden a tomar las decisiones más adecuadas:
• Asignar a la probabilidad valores ampliamente aceptados que representen cada

una de las categorías utilizadas. Los valores asignados a la probabilidad no son
tanto el reflejo de la posibilidad real de ocurrencia como de lo aceptable o tolera-
ble que es un riesgo para la empresa.
• Posible importe potencial de la pérdida en el caso de materializarse el riesgo. En
este caso, la dificultad de establecer una cantidad es obvia, por lo que es impor-
tante definir unas referencias contando con la ayuda de los expertos de las áreas
analizadas, sobre el volumen de operaciones, sobre el margen de la actividad, obje-
│ Sumario
DE COMPLIANCE 30
tivos o presupuesto, etc., o bien contar con métodos de estimación más robustos,
siempre que sea posible, como pueden ser un VaR cuantitativo o cualitativo.
• Análisis de cuál será el previsible ahorro que podemos tener en el importe poten-
cial de la pérdida en caso de materialización del riesgo aplicando los planes de
acción posibles. En este caso, y dado que no podemos probar la efectividad de los
controles que aún no han sido implantados, la mejor opción para simplificar el
procedimiento es delimitar el mencionado ahorro en porcentajes sobre el riesgo
potencial.
• Estimación del coste de implantación de los planes de acción considerados.
Con el manejo de las variables, llegamos a las siguientes relaciones:
• Importancia × Probabilidad = Riesgo potencial.

• Riesgo Potencial × Porcentaje de ahorro con planes de acción = Ahorro potencial.
• Ahorro potencial/Coste de implantación = Ratio coste beneficio.
7. SEGUIMIENTO Y REVISIÓN
Es importante concebir la gestión de riesgos en general como un proceso retroalimentado,

de mejora continua, que implica la reasignación dinámica de recursos de control a lo largo de
la organización. Debemos realizar una serie de acciones que nos permiten ir modificando el
enfoque del cual hemos partido para la gestión del riesgo:
1. Si trata de datos cuantitativos, la nueva información sobre los eventos se irá aña-
diendo para
2. comprobar si su importancia ha aumentado anormalmente.
3. Evaluar si los indicadores de riesgo empleados han proporcionado alertas tempra-
nas de estas anomalías.
4. Enjuiciar la eficacia de los procedimientos de control y mitigación.
Es necesario promover la comprensión de los riesgos del negocio por parte de todos
los miembros de la organización, la adopción de la prudencia como un criterio básico en la
actividad diaria y la asunción de responsabilidades en cuanto a los planes de mitigación de
los riesgos.
El desarrollo del mapa requiere que todos los niveles de dirección en la empresa estén invo-
lucrados en la gestión de los riesgos y que los miembros de la organización se hagan corres-
ponsables de esta problemática.
Hay que proporcionar evidencias relevantes para diagnosticar y, en su caso, perfeccionar

el sistema de control interno, y aumentar su confiabilidad de cara a los procesos de revisión
a posteriori, como la auditoría externa; desvelar conocimiento relevante para aprender de los
errores cometidos en el pasado en lo que respecta a la detección de las fuentes de indetermina-
ción y el diseño de políticas de prevención.
Sumario │
DE COMPLIANCE 31
El seguimiento y la revisión se deben planificar en el proceso de tratamiento del riesgo.

Las responsabilidades del seguimiento y de la revisión deben estar claramente definidas y el
proceso debe tener la finalidad de:
• Asegurar que los controles son eficaces y eficientes, tanto en su diseño como en
su funcionamiento. Obtener información adicional para mejorar la apreciación del
riesgo.
• Analizar y sacar conclusiones de los incidentes que se produzcan.
• Detectar cambios en el contexto, tanto interno como externo de la organización.
• Identificar riesgos emergentes o cambios en los riesgos ya identificados que pue-
dan requerir la revisión de los tratamientos de los riesgos o de las prioridades.
Los resultados de los ejercicios de revisión y seguimiento se deben registrar e incluir en

informes internos y externos, según se considere adecuado.
La última fase del proceso de gestión de riesgos es la que asegura que las actividades reali-
zadas sean trazables. De esta forma, los registros proporcionan, además, la base para la mejora
de los métodos, de las herramientas y del proceso en su conjunto.
7.1. I NDICADORES DE LA EFICACIA DEL MODELO DE GESTIÓN DEL

RIESGO (KEY PERFORMANCE INDICATOR, KP)
Un Key Performance Indicator mide la eficiencia pasada de compliance. A través de cada

uno de los indicadores medimos la cantidad de eventos materializados y pérdidas. Para ello,
debemos definir un determinado indicador que nos permita evaluar su eficacia, por ejemplo:
• Porcentaje de multas sobre ventas.

• Contingencias legales sobre ventas.
• Número de procesos con no conformidades sobre el total auditado.
• Número de denuncias anuales en el canal por empleado.
Un Key Risk Indicator nos ayuda a predecir si nos acercamos a un factor de riesgo. Medi-
mos el movimiento de los factores de riesgos (por ejemplo, proyectando tendencias) para cam-
biar estrategias. Para que el análisis sea eficaz, lo debemos vincular a lo que llamamos red flags,
valores de riesgo que deben indicarnos que es necesario algún tipo de actuación:
• Variación interanual de multas/contingencias/revisiones/ajustes fiscales.

• Porcentaje de empleados de compliance sobre empleados totales.
• Porcentaje de rotación no deseada de empleados.
• Número de cambios de versiones de políticas sobre el total.
• Porcentaje de órdenes de compras con disputas con proveedores.
• Porcentaje de empleados formados sobre cierto riesgo de compliance.
• Porcentaje sobre ventas a clientes públicos/extranjeros.
│ Sumario
DE COMPLIANCE 32
Figura 7. Indicadores
8. EFICACIA DE LA EVALUACIÓN DEL RIESGO DE CUMPLIMIENTO
Si bien cada evaluación de riesgos de cumplimiento es diferente, podemos encontrar una

serie de actuaciones comunes que nos permite realizar una adecuada evaluación de los riesgos:
• La información debe obtenerse por un equipo multifuncional. Una evaluación

de riesgos de compliance requiere la participación de especialistas profundos en
el tema y en toda la empresa. Son las personas que espiran el negocio, en funcio-
nes específicas, unidades de negocios y geografías, quienes realmente entienden
los riesgos a los que está expuesta la organización y ayudarán a garantizar que se
identifiquen y evalúen todos los riesgos clave. Además, si la metodología se diseña
en un vacío sin consultar a los propietarios del riesgo, el resultado del proceso
carecerá de credibilidad cuando se trate de implementar programas de mitigación.
• Coordinación con otras unidades de control. Hay que aprovechar el material
existente, como evaluaciones de riesgos empresariales, informes de auditoría
interna y revisiones de calidad, e integrar el contenido en la evaluación del riesgo
de cumplimiento. El resultado de cada proceso de evaluación de riesgos debe
informar y conectarse con cada uno de los demás.
• Identificación muy clara del dueño de cada riesgo. Establecer una clara iden-
tificación de los riesgos específicos conduce hacia una mejor transparencia. Una
evaluación integral de riesgos de cumplimiento ayudará a identificar a las perso-
nas responsables de administrar cada tipo de riesgo y facilitará que los ejecutivos
manejen las actividades de mitigación de riesgos, los esfuerzos de remediación y
exposiciones emergentes de riesgo.
• Participación de expertos externos cuando sea necesario. Por definición, una
evaluación de riesgos se basa en el conocimiento de los riesgos emergentes y
Sumario │
DE COMPLIANCE 33
el comportamiento regulatorio, que no siempre son bien conocidos dentro de la

organización. Aprovechar la experiencia externa puede informar la evaluación y
garantizar que incorpore una comprensión detallada de los problemas emergentes
de cumplimiento.
• La evaluación de riesgos debe ser considerada como un proceso vivo y que
cambia a lo largo del tiempo. Una vez que se asignan recursos para mitigar
o remediar los riesgos de cumplimiento, la severidad potencial de esos riesgos

cambiará. Lo mismo ocurre con los eventos en el entorno empresarial. Todo esto
debería impulsar cambios en la evaluación en sí. Se debe repetir periódicamente
la evaluación de riesgos. Las evaluaciones de riesgos de cumplimiento eficaces
se esfuerzan por garantizar un enfoque coherente que se siga implementando a lo
largo del tiempo, por ejemplo, cada uno o dos años. Al mismo tiempo, la inteli-
gencia de riesgos requiere un análisis continuo y una exploración del entorno para
identificar riesgos emergentes o señales de alerta temprana.
• Gestión adecuada de los datos y la información. Al incorporar y analizar los
datos clave (por ejemplo, estadísticas de línea directa, registros transaccionales,
hallazgos de auditoría, informes de excepción de cumplimiento, etc.), las organi-
zaciones pueden obtener una comprensión más profunda de dónde pueden residir
los riesgos existentes o emergentes dentro del negocio. Hay que incorporar herra-
mientas analíticas y aplicaciones de monitorización para ayudar a aprovechar y
analizar datos para fortalecer las capacidades de detección de riesgos.
│ Sumario
DE COMPLIANCE 34
 ACTIVIDADES DE AUTOCOMPROBACIÓN
Enunciado 1
Señale cuál de los siguientes no es un elemento del riesgo de cumplimiento:
a) Riesgo de crédito.
b) Riesgo financiero.
c) Riesgo reputacional.
d) Riesgo de sanciones.
Enunciado 2
Señale cuál de las siguientes puede ser considerada como una fuente de pérdidas financie-
ras en relación con el riesgo de cumplimiento:
a) Sanciones.
b) Multas.
c) Pérdidas financieras.
d) Todas las respuestas son válidas.
Enunciado 3
¿Qué entendemos por riesgo de cumplimiento?
a) La amenaza que representa la posición financiera, organizacional o reputacional

de una organización como resultado de violaciones de leyes, reglamentos, códi-
gos de conducta o estándares de práctica de la organización.
b) El riesgo de no cumplir con las leyes particulares que regulan su sector.
c) El riesgo de incumplir con los compromisos asumidos por la empresa dentro de
su actividad empresarial.
d) El riesgo de que los empleados realicen actuaciones que puedan suponer la impu-
tación de la sociedad o de alguno de sus directivos.
Enunciado 4
Señale cuál de los siguientes no es un elemento que defina una evaluación de riesgos de
cumplimiento diseñada de manera efectiva:
a) Priorizar riesgos.
b) Asignar estos riesgos a los propietarios de riesgos aplicables.
Sumario │
DE COMPLIANCE 35
c) Asignar recursos de manera efectiva a la mitigación de riesgos.

d) Asegurar un entorno de riesgo cero.
Enunciado 5
La evaluación de los riesgos de cumplimiento de una empresa debe hacerse siguiendo:
a) Un modelo específico del país.

b) Un modelo sectorial.
c) No hay ningún modelo. Debe hacerse de forma específica.
d) Un modelo penal.
Enunciado 6
¿Qué institución elaboró un documento sobre la función de compliance para los bancos?
a) El Comité de Supervisión Bancaria de Basilea.

b) El Banco de España.
c) La Agencia Tributaria.
d) La Dirección General del Tesoro.
Enunciado 7
¿Qué entendemos por riesgo inherente?
a) Es el riesgo que existe en ausencia de controles o estrategias de mitigación.

b) Es el riesgo que no puede eliminarse por las medidas de control.
c) Es el nivel de riesgo deseado por la entidad.
d) Es el nivel de riesgo que marca la regulación y que no puede ser superado.
Enunciado 8
Al analizar los factores que componen el riesgo, ¿qué entendemos por impacto legal?
a) Acción legal o reglamentaria contra la organización o sus empleados que podría

resultar en multas, penas, encarcelamiento, incautaciones de productos o exclusión.
b) Impacto negativo con respecto a la línea de fondo de la organización, precio de la
acción, futuro potencial de ganancias o pérdida de la confianza del inversor.
c) Impacto por eventos adversos, como embargos.
d) Impacto por cierres de plantas que podrían interrumpir significativamente la capa-
cidad de la organización para operar.
│ Sumario
DE COMPLIANCE 36
Enunciado 9
Al analizar los factores que componen el riesgo, ¿qué entendemos por impacto reputacional?
a) Acción legal o reglamentaria contra la organización o sus empleados que podría

resultar en multas, penas, encarcelamiento, incautaciones de productos o exclusión.
b) Impacto negativo con respecto a la línea de fondo de la organización, precio de la
acción, futuro potencial de ganancias o pérdida de la confianza del inversor.
c) Impacto por eventos adversos, como embargos.
d) Daño a la organización, reputación o marca, por ejemplo, mala prensa o discu-
sión social o en los medios, pérdida de la confianza del cliente o disminución de
la moral de los empleados.
Enunciado 10
¿Qué entendemos por riesgo residual?
a) El riesgo inherente a la luz de su entorno de control y las actividades existentes.

b) El riesgo que existe en ausencia de controles o estrategias de mitigación.
c) El riesgo que no puede eliminarse por las medidas de control.
d) El nivel de riesgo deseado por la entidad.
Sumario │
DE COMPLIANCE 37
Solución 1
a) Riesgo de crédito.
Solución 2
d) Todas las respuestas son válidas.
Solución 3
a) La amenaza que representa la posición financiera, organizacional o reputacional

de una organización como resultado de violaciones de leyes, reglamentos, códi-
gos de conducta o estándares de práctica de la organización.
Solución 4
d) Asegurar un entorno de riesgo cero.
Solución 5
c) No hay ningún modelo. Debe hacerse de forma específica.
Solución 6
a) El Comité de Supervisión Bancaria de Basilea.
Solución 7
a) Es el riesgo que existe en ausencia de controles o estrategias de mitigación.
Solución 8
a) Acción legal o reglamentaria contra la organización o sus empleados que

podría resultar en multas, penas, encarcelamiento, incautaciones de productos
o exclusión.
│ Sumario
DE COMPLIANCE 38
Solución 9
d) Daño a la organización, reputación o marca, por ejemplo, mala prensa o discu-

sión social o en los medios, pérdida de la confianza del cliente o disminución de
la moral de los empleados.
Solución 10
a) El riesgo inherente a la luz de su entorno de control y las actividades existentes.
Sumario │
DE COMPLIANCE 39

6 Unidad Compliance C S

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

6 Unidad Compliance C S

Caricato da

Copyright:

Formati disponibili

UNIDAD

2.1. Efectos de los riesgos

2.3.1. Determinación del riesgo residual

3. Los mapas de riesgos

3.1. El proceso de desarrollo del mapa

4. Proceso de gestión del riesgo

4.1. Conocimientos de la empresa, su actividad y los riesgos asociados

4.1.1. Consulta a todas las partes interesadas

4.2.1. Identificación de los riesgos de compliance

3. Valoración ajustada al control interno

4.1. El concepto de «apetito de riesgo»

5. Definición de los controles: mapa de controles

5.1. Descripción de los controles

6. Tratamiento de los riesgos

6.1. Diseño de un plan de acción

8. Eficacia de la evaluación del riesgo de cumplimiento

La función de compliance debe asegurarse de comprender todo el espectro de riesgos de

La evaluación de riesgos de cumplimiento ayudará a la organización a comprender todo

El marco debe ser integral, dinámico y personalizable, lo que permite a la organización

El entorno regulatorio, en constante cambio, aumenta la vulnerabilidad de la mayoría de

2. EL CONCEPTO DE RIESGO DE COMPLIANCE

El documento Compliance and the Compliance Function in Banks, publicado por el

Posteriormente, en julio de 2015, el Comité de Supervisión Bancaria de Basilea ratificó

Figura 1. Gestión de riesgos

2.1. EFECTOS DE LOS RIESGOS

• Sanciones. Una empresa puede recibir sanciones administrativas (dictadas por

2.2. CAUSAS DE LOS RIESGOS

• Incumplimiento de las leyes. El cumplimiento de la legislación que afecta a la

 ETODOLOGÍA PARA LA EVALUACIÓN DEL RIESGO DE COM-

El riesgo inherente es el que existe en ausencia de controles o estrategias de mitigación.

• Impacto legal. Acción legal o reglamentaria contra la organización o sus emplea-

• Impacto financiero. Impactos negativos con respecto a la línea de fondo de la

Es importante proporcionar una información cuantitativa y cualitativa para cada categoría.

La función de compliance, como una de las funciones de control de riesgo de la empresa,

2.3.1. Determinación del riesgo residual

Si bien es imposible eliminar toda la exposición al riesgo de una organización, el marco de

Las actividades efectivas de mitigación de riesgos pueden reducir la probabilidad de que

Cuando una organización evalúa el riesgo inherente a la luz de su entorno de control y

3. LOS MAPAS DE RIESGOS

Su utilidad se basa en tres elementos:

• Genera una información integrada sobre la exposición al riesgo de la empresa.

Este planteamiento se corresponde con la noción clásica de riesgo: una indeterminación

La gran ventaja de dotar a la empresa de un mapa de riesgos es disponer de un análisis de

3.1. EL PROCESO DE DESARROLLO DEL MAPA

Antes de abordar los elementos esenciales para la elaboración de un mapa de riesgos en la

La elaboración de un mapa de riesgos requiere una metodología y una colaboración por

Finalmente, el trabajo requerirá un esfuerzo de implementación de controles dentro de

La elaboración de un mapa de riegos debe pasar por las siguientes fases:

• Identificación. Los riesgos de compliance que hayamos identificado dependerán

En los siguientes epígrafes de esta unidad estudiaremos detalladamente este proceso de

4. PROCESO DE GESTIÓN DEL RIESGO

En este epígrafe, como conocemos en qué consiste el riesgo de compliance y entendidos

En este sentido, vamos a tomar como referencia la construcción de un mapa de riesgos

Para la identificación, evaluación y gestión del riesgo, contamos en la actualidad con

El riesgo es un elemento propio de la actividad empresarial y presente en cualquier tipo de

4.1.1. Consulta a todas las partes interesadas

El desarrollo se inicia con una reflexión acerca de la organización y su negocio y con la

El objetivo es incardinar cada actividad en el entramado de flujos técnicos y financieros

Es importante comprender que esta evaluación no debe restringirse a la experiencia his-

La descripción de los procedimientos y la identificación de los riesgos se realizarán a par-

En cada área objeto de análisis es necesario realizar un trabajo de investigación previo

• Documentos internos, como procedimientos escritos, presupuestos, planes de acti-

• Identificación y descripción de las principales tareas realizadas.

4.1. Conocimientos de la empresa, su actividad y los riesgos asociados

ETODOLOGÍA PARA LA EVALUACIÓN DEL RIESGO DE COM-