Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
6 GESTIÓN DEL
RIESGO DE
DE COMPLIANCE
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE I
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Sumario
Unidad 6
Objetivos de la unidad
1. Introducción
2. El concepto de riesgo de compliance
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE II
7. Seguimiento y revisión
7.1. Indicadores de la eficacia del modelo de gestión del riesgo (Key Performance Indicator, KP)
Actividades de autocomprobación
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 1
Unidad 6
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
OBJETIVOS DE LA UNIDAD
Dentro de una estructura de compliance, tal y como lo conceptúa la ISO 19600, el esta-
blecimiento de controles sobre toda la organización es esencial. Para establecer controles, con
carácter previo es preciso llegar a conocer los concretos riesgos de cada organización.
En esta unidad estudiaremos los procesos de gestión del riesgo; para ello, vamos a seguir
los criterios que marca la ISO 31000 sobre gestión del riesgo. Esta metodología nos va a permi-
tir determinar el nivel de riesgo de compliance en una organización y saber dónde están nues-
tras debilidades. El objetivo final del análisis del riesgo de compliance es permitirnos tomar
decisiones: erradicar el riesgo, minorarlo, asegurarlo o incluso aceptarlo.
Como elemento fundamental de esta unidad está el concepto de mapa de riesgos como
herramienta a través de la cual se realiza la gestión del riesgo de compliance y que el alumno
debe dominar.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 2
1. INTRODUCCIÓN
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Uno de los elementos fundamentales para asegurar la sostenibilidad de una empresa en
el largo plazo es realizar una correcta identificación y evaluación de los riesgos. El entorno
empresarial es cada vez más complicado y está sujeto a una mayor regulación, lo que hace
necesario que las empresas se doten de un marco que permita anticiparse a situaciones poten-
cialmente adversas.
No se puede mitigar un riesgo si no se sabe que existe. A medida que prolifera la regu-
lación, las organizaciones están expuestas a un mayor grado de riesgo. El riesgo de cumpli-
miento es la amenaza que representa la posición financiera, organizacional o reputacional de
una organización como resultado de violaciones de leyes, reglamentos, códigos de conducta o
estándares de práctica de la organización. Para conocer su exposición al riesgo, las organiza-
ciones deben dotarse de un proceso de evaluación de riesgos para conocer plenamente la expo-
sición al riesgo de cumplimiento.
Las empresas realizan evaluaciones para identificar sus riesgos, por ejemplo, estratégicos,
financieros, operacionales, y evaluar la exposición a cada uno de ellos. En la mayoría de los casos,
el proceso de evaluación de riesgos de la empresa se centra en la identificación de los riesgos de
«apostar a la compañía»; aquellos que podrían afectar a la capacidad para lograr sus objetivos
estratégicos.
Debido a la variedad de los posibles riesgos de cumplimiento a los que se enfrenta una
organización, la evaluación suele ser muy compleja. El marco establece el panorama de riesgo
de cumplimiento de la organización y lo organiza en dominios de riesgo, mientras que la meto-
dología contempla formas objetivas y subjetivas para evaluar esos riesgos.
Las empresas deben establecer los mecanismos que les permitan identificar su riesgo de
cumplimiento y la forma en que afecta a sus diferentes actividades y procesos, analizar los con-
troles existentes para minorar la posibilidad de que un riesgo potencial se materialice en una
pérdida cierta, y adoptar medidas para reducir o controlar el riesgo en aquellas áreas donde se
observe que está por encima de los límites tolerables para la empresa.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 3
Algunos riesgos de cumplimiento son específicos de una industria u organización; por ejem-
plo, las normas de seguridad del trabajador para los fabricantes o las normas que rigen el comporta-
miento de los representantes de ventas en la industria farmacéutica. Otros riesgos de cumplimiento
trascienden las industrias o las geografías, como los conflictos de intereses, el acoso, la protección
de datos o la conservación de la documentación. Un marco eficaz debe organizar sus elementos
para mitigar los riesgos de forma eficaz y para que sea aplicable a cada riesgo de compliance.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Una buena evaluación de riesgos de ética y cumplimiento incluye tanto un marco integral
como una metodología para evaluar y priorizar los riesgos. Con esta información en la mano,
las organizaciones podrán desarrollar estrategias efectivas de mitigación y reducir la probabi-
lidad de un evento importante de incumplimiento o falla ética, distinguiéndose en el mercado
de sus competidores.
«El riesgo de compliance es el riesgo de que una organización pueda sufrir san-
ciones, multas, pérdidas financieras o pérdida de su reputación como resultado del
incumplimientos de las leyes, regulaciones, normas de autorregulación o códigos de
conducta que se apliquen a su actividad».
Aunque el mencionado documento está específicamente dirigido a los bancos, las defi-
niciones y principios expresados en el mismo son aplicables a la función de compliance de
cualquier empresa u organización y resumen de forma certera los principios básicos que deben
dirigir la función.
Vemos, por tanto, que el riesgo de compliance va unido, no solo al posible incumplimiento
de las leyes, sino, principal y fundamentalmente, a la vulneración de las normas de conducta
que llevan a una organización a comportarse de forma poco ética o poco íntegra.
La gestión de los riesgos de compliance viene impulsada por dos procesos, en gran medida
relacionados: por una parte, la evolución del contexto socioeconómico hace que la empresa se
vea sometida a factores de riesgo cada vez más lejanos a su entorno próximo, con frecuencia
atípicos o singulares, y cuyo tratamiento requiere, no ya decisiones rápidas, sino estrategias
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 4
preventivas ad hoc y, por otra, la posibilidad de inferir catálogos de buenas prácticas a partir
de la experiencia y del marco regulatorio propios de la gestión de riesgos.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Artículo 31 bis Compliance Ética
21 delitos del Código Penal ex- Externo: Compliance con las expectativas
tensibles a la persona legal. de los grupos de interés.
• Otros delitos (mobbing, se-
Recursos y urgencia. Decisiones de negocios basadas
guridad laboral).
Etapa de educación (y aprendi- en valores corporativos (ten-
• Regulaciones (cotizantes
zaje del compliance officer). dencia en cómo reclutamos).
del mercado de valores).
El «compliance de papel». Retorno del gasto de compliance.
• Autorregulaciones.
• Ley, Estatuto de los Traba- Sostenibilidad y rentabilidad.
jadores. Excelencia de servicio, diferen-
• ISO. ciador, cultura corporativa.
Interno:
• Políticas y procedimientos.
• Compromisos.
Nos encontramos con los siguientes efectos que producen los riesgos en caso de materia-
lizarse y que, en su conjunto, definen el riesgo de compliance:
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 5
riesgo más difícil de cuantificar, pero sin duda el más grave de todos. El valor de la
marca de la empresa y su reputación, basada en la confianza, son los mayores acti-
vos de una organización. Se tarda años en conseguir una reputación y en forjarse
la confianza de los clientes y los mercados, pero se puede perder en cinco minutos.
La pérdida de la reputación motivada por escándalos económicos ha hecho caer en
muy pocos días imperios empresariales construidos durante décadas.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
En cuanto a los incidentes que pueden dar lugar a que se materialicen los mencionados
riesgos que definen el riesgo de compliance, son los siguientes:
El punto de partida debe ser una metodología objetiva para evaluar la probabilidad y el
impacto potencial de cada riesgo, lo que ayudará a la organización a comprender su exposi-
ción al riesgo inherente.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 6
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
• Impacto reputacional. Daño a la organización, reputación o marca; por ejemplo,
mala prensa o discusión social en los medios, pérdida de la confianza del cliente
o disminución moral de los empleados.
Las empresas deben disponer de una estrategia integral y sistematizada para la gestión de
sus riesgos. El elemento fundamental sobre el que se construye esta estrategia es el mapa de
riesgos. Es una herramienta, basada su propia información, que busca identificar las activida-
des o procesos sujetos a riesgo, cuantificar la probabilidad de estos eventos y medir el daño
potencial asociado a su ocurrencia.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 7
El mapa de riesgos es una herramienta dirigida a prevenir los riesgos a los que está expuesta
la empresa mediante su identificación y segmentación. Debe cubrir todos los riesgos de la
empresa, desde riesgos financieros (un aumento de la competencia que afecte negativamente
nuestras ventas) hasta reputacionales (un uso inadecuado de los medios de comunicación de la
empresa), pasando por los penales (insolvencias punibles).
La gestión del riesgo pasa por elaborar un mapa de riesgos eficaz; su objetivo es sintetizar
la información relativa a las incertidumbres que afronta la empresa y colaborar en las estrate-
gias destinadas a mitigar la exposición y los daños potenciales.
Su finalidad es identificar y medir los riesgos a los que está expuesta la organización y
proporcionar una visión analítica de las relaciones de causalidad subyacentes contestando a las
preguntas: ¿cuáles son los procesos o actividades que causan esta exposición?, ¿vincular los
procesos de negocios con sus correspondientes riesgos permite trazar las causas de un evento
en concreto?
La construcción de un mapa de riesgos está muy ligada a la propia evaluación de los ries-
gos y supone posicionar los riesgos y las oportunidades de acuerdo con diferentes ejes, deter-
minando el impacto potencial de los riesgos, el nivel de control de los mismos o la posibilidad
de ocurrencia.
Una vez definido el concepto que deseamos controlar, resulta esencial tener un diagnós-
tico que presente las vulnerabilidades de la organización. Esto es lo que se define como mapa
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 8
de riesgos, y consiste en identificar y jerarquizar los riesgos principales de las empresas, así
como ejecutar las acciones correctoras que sean necesarias para gestionar adecuadamente los
riesgos encontrados.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
tintos procesos de la empresa y, sobre todo, un conocimiento global de la compañía por parte
de la persona o el equipo encargado de desarrollar el mapa de riesgos.
En definitiva, el mapa de riesgos será un proyecto válido si: i) la empresa asume, valida y
entiende los resultados; ii) se adoptan acciones de gestión de riesgos de negocio; y iii) el trabajo
se actualiza y pervive en el tiempo. El objetivo es agregar la información relativa a los riesgos
que se derivan de cada una de las actividades de la empresa. El principal problema para su ela-
boración es que, a pesar de todo, muy pocas personas en la organización conocen en detalle
todos y cada uno de sus procesos y la forma en que se relacionan.
Por otra parte, desde el punto de vista del control, es preciso identificar un pequeño número
de medidas o indicadores que reflejen el estado de cada uno de estos procesos (KRI, key risk
indicators) y relacionarlos con procedimientos de control y con las acciones de mitigación que
se aplicarán cuando estos indicadores revelen desviaciones o anomalías.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 9
desarrollar un marco de trabajo para integrar la gestión del riesgo en todos los procesos de
la empresa y, cómo no, también en los procesos asociados al área legal de la organización.
En todas las fases del proceso es necesaria la participación de todas las partes interesadas
de la organización, tanto internas como externas, con objeto de obtener sus opiniones con rela-
ción a todos los aspectos relacionados con los riesgos: identificación de nuevos riesgos, causas
y consecuencias de los mismos, medidas que adoptar para su gestión, etc. Sin esta comunica-
ción, el ejercicio no sería completo.
4.1. C
ONOCIMIENTOS DE LA EMPRESA, SU ACTIVIDAD Y LOS RIESGOS
ASOCIADOS
La fase de comunicación y consulta de todas las partes interesadas, tanto internas como
externas a la organización, se debe realizar a lo largo de todo el proceso de gestión de los riesgos.
Este proceso de comunicación y consulta ayudará a realizar un ejercicio más real y exacto
tanto en el establecimiento del contexto como en la identificación de los riesgos o en su aná-
lisis y evaluación. En este proceso se puede reunir a diferentes áreas de la organización para
hacerse una idea más completa del contexto y de los riesgos, así como de su tratamiento. Se
deberá contar también con todas las opiniones y tenerlas en cuenta a la hora de la definición de
los criterios de riesgo y de su evaluación.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 10
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
se derivan de ellas:
Los responsables de las distintas áreas tienen un conocimiento directo de los procesos y
de sus posibles riesgos. En las entrevistas deben obtenerse detalles acerca de las actividades
sensibles, las fuentes de riesgo a las que está expuesta el área y la eficacia de los mecanismos
de control interno existentes para mitigar los riesgos.
Resulta difícil establecer pautas porque estas van a depender tanto de factores organizati-
vos como individuales, pero no hay que vincularlo con evaluar la calidad de la gestión del área.
En el transcurso de las entrevistas deberemos recabar la mayor información posible y apoyarla
con la documentación existente:
El primer paso necesario, antes de entrar a identificar, analizar y evaluar los riesgos, es
conocer muy bien la organización y su contexto, analizando y entendiendo de forma completa
todos los factores internos y externos que la impactan.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 11
B) Actividad de la organización
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 12
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
explosivos, sustancias inflamables o corrosivas o sustancias tóxicas y asfixiantes;
manejar materiales que emitan radiaciones ionizantes; manejar información privi-
legiada de empresas cotizadas; manejar de datos personales de personas físicas; o
tener antecedentes de imputación penal de empleados, directivos o administradores.
C) Normativa de aplicación
Uno de los elementos fundamentales del establecimiento del contexto para la gestión de
los riesgos de compliance es el análisis del entorno regulatorio de la organización y del con-
junto de leyes y normas, tanto internas como externas, que le son de aplicación. Entre otros
aspectos, deberemos analizar los siguientes:
• La legislación aplicable. Incluyendo las leyes y otras normas legales que son de
aplicación a la organización, así como las circulares, guías y recomendaciones de
los supervisores.
• Las normas internas. Incluyendo las políticas internas, los manuales y procedi-
mientos internos y los códigos de conducta.
• Las normas y los estándares nacionales e internacionales (aplicables a la acti-
vidad de la organización) y los certificados de estandarización (emitidos por
terceros independientes).
En el caso de empresas que actúen en sectores regulados, es muy importante conocer tam-
bién cuáles son las prioridades de los reguladores y supervisores competentes.
Por último, es importante y necesario delimitar las competencias y las áreas dentro de
la organización que están bajo la responsabilidad de la función de compliance. Estas no son
siempre las mismas y varían en cada empresa u organización en función de una variada can-
tidad de factores.
Las áreas que típicamente están bajo la responsabilidad de compliance son aquellas rela-
cionadas con las normas de conducta.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 13
La evaluación de los riesgos pasa por realizar primero una identificación de los riesgos
para a continuación desarrollar una metodología para medirlos y priorizarlos y finalizar el pro-
ceso con una evaluación del modelo de control interno, identificando la parte del riesgo total
que no está sometida a medidas de mitigación.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
El marco para la evaluación de los riesgos está muy bien definido en la norma ISO 31000.
Seguimiento y revisión
Análisis de los riesgos
Una vez analizado el contexto y conocidos a fondo todos los aspectos de la organización,
se debe pasar a realizar la identificación de los riesgos de compliance, es decir, el listado deta-
llado de los acontecimientos o de los escenarios que, en caso de que sucedieran, podrían dar
lugar a pérdidas económicas, financieras o reputacionales en la organización. Los riesgos típi-
cos del área de compliance son los siguientes:
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 14
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
• Supervisión de la gestión de reclamaciones de clientes.
• Prevención del abuso de mercado.
• Protección de datos.
• Defensa de la libre competencia.
• Transparencia y buenas prácticas publicitarias.
Lógicamente, no todos los riesgos llegan a materializarse; de hecho, muy pocos llegan a
hacerlo, pero sí es importante identificarlos, analizarlos y evaluarlos. Este ejercicio es una de las
actividades más importantes y sensibles del compliance officer, ya que cualquier error de aprecia-
ción en este punto puede tener consecuencias muy negativas en las siguientes fases del proceso
y en la eficacia de la función de compliance en su globalidad.
Por otro lado, se trata de un ejercicio que debe ser dinámico y no estático. El universo de
riesgos de compliance debe ser actualizado siempre que se identifique un nuevo riesgo y, en
todo caso, debería realizarse un ejercicio de verificación periódica (al menos una vez al año)
para comprobar o descartar que existan nuevos riesgos que no estén ya identificados.
Protección de
FCPA Antitrust Insider trading Privacidad
activos
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 15
ducir el concepto del «riesgo inherente». En esta fase deberemos evaluar el riesgo inherente
de cada uno de los riesgos que componen el universo de riesgos de la organización. Se trata de
delimitar, dentro del riesgo inherente, el riesgo residual como aquel riesgo que está asumiendo
la empresa en una actividad y momento concreto a pesar de los controles existentes.
Los cuatro elementos que debemos tener en cuenta a la hora de determinar el riesgo aso-
ciado a un incumplimiento son:
Cada organización dispondrá de sus propios procedimientos internos para medir el riesgo
inherente en función de su impacto y probabilidad.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 16
Tenemos que ser capaces de cuantificar en una determinada escala el impacto que puede
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
suponer para la empresa cada uno de los riesgos; para ello, deberemos determinar las fuentes
del impacto y el valor para cada uno de ellos.
Score 1 2 3 4 5
Multas, daños
< 1 % de 1 % al 3 % de 3 % al 5 % de 5 % al 10 % de > 10 % de
e indemniza-
las ventas. las ventas. las ventas. las ventas. las ventas.
ciones
Cobertura
Cobertura Cobertura en
Impacto negativo sustancial en
Sin exposición en medios o medios o
Reputacional localizado pero medios o
o daño. reguladores reguladores
recuperable. reguladores
local. nacional.
nacional.
Impacto Alto M A A
Medio B M A
Bajo B B M
Probabilidad
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 17
A) Prioridad
La prioridad es una medida de la repercusión potencial de cada factor de riesgo. Esta rele-
vancia se evalúa a través de dos indicadores: su importancia y la probabilidad de ocurrencia
de los eventos.
relación con el conjunto de riesgos del área al que pertenece y de acuerdo con la pérdida
máxima que, se estima, se podría llegar a producir sin considerar los controles estableci-
dos (estos últimos se evalúan posteriormente y en ese momento se les asignará un grado de
cobertura del riesgo).
Los elementos que hay que manejar para la evaluación de la importancia son:
B) Probabilidad
Con las salvedades efectuadas en el epígrafe anterior, respecto a la realización de una escala
común a todas las áreas, una posible clasificación es la mostrada en el cuadro 3.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 18
Score 1 2 3 4 5
Incidentes Incidentes
Descripción Casi imposible. Rara Posible.
aislados. repetitivos.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
< Una vez < Una vez Una vez
Tiempo Una vez al año. Una vez al mes.
cada cinco años. cada año. a la semana.
Probabilidad < 1 % 1 % al 5 % 5 % al 10 % 10 % al 20 % > 20 %
FCPA
5
Restrictions 428/2009
649/2012
OFAC
2
Anti-Boycott
Aduanas i
1
1 2 3 4 5 Fq
La aplicación de los criterios anteriores proporciona una calificación inicial para cada
riesgo inherente al margen de los mecanismos de control interno. La evaluación inicial debe
ajustarse en función de la efectividad y el grado de cobertura que ofrecen dichos mecanismos,
medidos en una escala cualitativa:
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 19
Efectuada la evaluación cualitativa de cada uno de los factores de riesgo hay que agrupar
los resultados según la tipología de riesgos que hemos definido para determinar la exposición
a cada uno de esos factores. Cada intervalo viene definido por el cumplimiento de la condición
numérica establecida. La asignación de los resultados entre los distintos intervalos se va reali-
zando en cascada, en orden de mayor a menor nivel de riesgo.
Este documento deberá ser objeto de revisión y verificación periódica, por ejemplo, una
vez al año, con objeto de determinar si existen riesgos adicionales que no se habían conside-
rado, que habría que añadir, o si hubiera que modificar el análisis de los que se han identificado,
ajustando su impacto o probabilidad.
Con base en los resultados del análisis del riesgo, la finalidad de la evaluación del riesgo
es ayudar a la toma de decisiones, determinando los riesgos que se deben tratar y la prioridad
para implementar el tratamiento.
La principal finalidad de realizar la evaluación de los riesgos es, por tanto, disponer de
una herramienta que nos permita tomar decisiones en cuanto al tratamiento de los riesgos, es
decir, decidir en cada caso si hay que actuar o no, qué tipo de actuación tenemos que realizar,
con qué urgencia o prioridad se debe actuar, etc.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 20
Como bien sabemos, el riesgo cero absoluto no existe; siempre hay un umbral tolerable
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
de riesgo que las organizaciones están dispuestas a asumir. Pero ello no quiere decir que esta
asunción del riesgo se haga de forma inconsciente o desordenada, sino que debe hacerse de
forma consciente y bien documentada.
El apetito de riesgo se puede definir como la cantidad de riesgo, a nivel global, que la admi-
nistración y la dirección de una organización están dispuestas a aceptar en su búsqueda de valor.
«La cantidad de riesgo, a nivel global, que una entidad está dispuesta a acep-
tar en su búsqueda de valor. Refleja la filosofía de gestión del riesgo de la entidad y
al mismo tiempo influye en la cultura y el estilo en el que opera […] El apetito de
riesgo determina la asignación de recursos […] El apetito de riesgo ayuda a alinear
la organización, las personas y los procesos para diseñar la infraestructura necesaria
para responder y monitorizar los riesgos de forma efectiva».
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 21
En nuestro proceso de diseñar un modelo de gestión del riesgo de compliance, una vez que
hemos identificado y evaluado cada uno de los riesgos debemos incorporar a nuestro modelo
los controles que nos van a ayudar a mitigar cada uno de ellos.
La siguiente fase será la evaluación de su eficacia para determinar el nivel de riesgo asu-
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Los distintos controles que se pueden implantar pueden ser controles de prevención, de detec-
ción o de reacción. Los controles de prevención son controles ex ante, es decir, se implementan antes
de que suceda el riesgo potencial para intentar evitarlo o mitigarlo. Sin embargo, los controles de
detección o de reacción se implementan ex post, es decir, una vez que el riesgo se ha materializado,
pero ayudan también a tomar decisiones para evitar que se puedan volver a producir en el futuro.
En el siguiente cuadro encontramos los cuatro tipos de controles que podemos encontrar-
nos en nuestro mapa.
Prevención
Detección
Respuesta
• Protocolo de disciplina.
• Comunicación de fraudes.
• Denuncias a la justicia.
Supervisión y monitorización
Entre los distintos controles que se pueden implantar para gestionar los riesgos de com-
pliance podemos citar los siguientes:
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 22
A) Políticas y procedimientos
Las políticas y procedimientos de compliance son normas internas de la empresa que pue-
den venir motivadas por obligaciones legales o establecerse como controles internos voluntarios
en la empresa. Las políticas de compliance contienen pautas de actuación en distintos ámbitos
(prevención de conflictos de intereses, canal de denuncias interno, prevención del blanqueo de
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
capitales, prevención del uso de información privilegiada, segregación de funciones, seguridad
de la información, etc.) que deben ser respetadas por todos los empleados y directivos de la
organización. Se formulan con objeto de prevenir los riesgos de compliance y deben ser apro-
badas por la alta dirección de la entidad. Al responsable de compliance le corresponde propo-
nerlas, difundirlas, supervisarlas y monitorizar su cumplimiento.
B) Formación
La formación del personal en las materias propias de compliance, incluyendo las normas
legales que les son de aplicación, las políticas internas, los códigos de conducta, etc., constituye
un eficaz control de prevención, ya que ayuda a que los miembros de la organización conozcan las
pautas con las que deben actuar y sean conscientes de las consecuencias de los incumplimientos.
D) Indicadores de riesgo
Los indicadores de riesgo constituyen un control de detección y una herramienta útil para
evaluar el estado de un riesgo determinado que, por cualquier razón, interese seguir más de
cerca. Sirven para medir «la temperatura» de un riesgo de forma periódica y constante. Su defi-
nición y el establecimiento de los umbrales de tolerancia son factores clave a la hora de extraer
conclusiones fiables. Los indicadores de riesgo que se definan variarán en función, entre otros
factores, del tipo de negocio que se trate, del marco regulatorio aplicable, de las prioridades de
los supervisores o de otras situaciones coyunturales relevantes.
Una vez definidos, los indicadores se deberán medir con una periodicidad corta, por ejem-
plo, una vez al mes, y se irá monitorizando su evolución. Cuando el resultado de la medición
de un indicador de riesgo se distancie del umbral de tolerancia que previamente se haya defi-
nido, se deberá vigilar más de cerca y, si la desviación persiste en las siguientes mediciones,
este hecho supondrá una señal de alarma que permitirá identificar y corregir posibles deficien-
cias de controles en un estadio muy temprano.
E) Monitorización de compliance
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 23
Las reclamaciones de clientes, proveedores y otras partes interesadas son una fuente muy
válida para detectar posibles fallos de control o malas prácticas en la organización. Para ello,
es necesario analizarlas y buscar la causa raíz de aquellas reclamaciones que sean reiterativas
o que se produzcan repetidamente en un periodo.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
G) Canal de denuncias
Las consecuencias para los miembros de la organización que tienen las prácticas irregula-
res y los incumplimientos de las normas, en forma de medidas disciplinarias o de otro tipo, así
como las medidas favorables e incentivadoras que puedan tener las conductas positivas, tam-
bién son controles de reacción eficaces para prevenir los riesgos.
Una vez identificados y definidos los controles asociados a cada riesgo, es necesario pro-
ceder a su evaluación, analizando su diseño y la efectividad de su funcionamiento.
Los controles pueden ser automáticos o manuales; los primeros son más seguros y robus-
tos que los segundos, si bien cada control se debe diseñar de forma adecuada y proporcional
al riesgo que pretenden prevenir.
En ocasiones, aunque el control esté bien diseñado, su funcionamiento puede no ser eficaz
debido a deficiencias en la forma en la que se esté ejecutando. De la misma manera, un control
puede estar siendo ejecutado correctamente pero estar mal diseñado, por lo que su efectividad
global será deficiente.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 24
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
documentado. Cada control se aplicará para prevenir uno o varios de los riesgos identificados
y, de la misma forma, un mismo riesgo puede tener asociados varios controles diferentes, tanto
de prevención como de detección o de reacción.
Como continuación, o como parte de ese mapa de riesgos, debemos incorporar los con-
troles que se aplican a cada uno de los riesgos de forma que pueda acreditarse su seguimiento.
Para cada uno de los controles, debemos incorporar la siguiente información:
Este documento deberá ser objeto de revisión y verificación periódica, por ejemplo, una
vez al año, con objeto de determinar si existen controles adicionales que no se habían consi-
derado, añadir nuevos controles que se hayan implementado durante el periodo o actualizar la
efectividad de los controles que se hayan mejorado o que se hayan deteriorado, tanto en cuanto
a su diseño o como a su funcionamiento.
En la guía sobre gestión del riesgo de la OCDE se muestra a modo de ejemplo cómo debe
aplicarse este proceso.
Probability Medium.
.../...
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 25
.../...
El riesgo residual se puede definir como el riesgo resultante que queda tras haber apli-
cado los controles y las medidas de prevención diseñadas, que estarán asociadas a cada uno
de los riesgos.
El riesgo residual es el riesgo que la organización está aceptando asumir y, por lo tanto,
debe ser necesariamente conocido y aceptado por los órganos de administración y dirección.
Cada organización dispondrá de sus propios procedimientos internos para medir el riesgo resi-
dual, como cruce entre el riesgo inherente y la efectividad de los controles asociados a cada riesgo.
Riesgo Alto M M A A
inherente
Medio B M M A
Bajo B B M M
De la misma manera que se hizo con el riesgo inherente, el resultado de la evaluación del riesgo
residual deberá ser convenientemente documentado. En la plantilla en la que queden documenta-
dos los distintos riesgos identificados y sus correspondientes riesgos residuales se pueden añadir
todos los aspectos que se consideren convenientes para completar o enriquecer la información.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 26
Este documento final de riesgos debe incorporar el resultado final de todo el proceso de
evaluación partiendo de la propia denominación del riesgo y del detalle del escenario de riesgo
concreto que se está analizando. Deberá recoger la información sobre el impacto, la probabili-
dad y el riesgo inherente resultante.
Se completará con la información resultante del mapa de controles asociados a cada riesgo
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
incorporando el detalle de los controles que se aplican y la efectividad del diseño y del fun-
cionamiento de los controles y acabará con la información sobre el riesgo residual resultante.
Este documento deberá ser objeto de revisión y verificación periódica, por ejemplo, una
vez al año, con objeto de modificar el estado del riesgo residual que por cualquier razón se
hubiera visto alterado.
Impacto
350
Riesgo
300
l1
inherente
ro
nt
Co
250
Decisión para la cual
construimos el mapa Riesgo
200 residual al
análisis
l2
Asegura la mejora
ro
nt
150
Riesgo
residual con
100 tratamiento
adicional
50
0
0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 %
Probabilidad
El tratamiento de los riesgos implica la decisión sobre las opciones que podemos imple-
mentar para mitigarlos. Supone un proceso cíclico de:
• Evaluación.
• Decidir si el nivel de riesgo residual es tolerable.
• Si no es tolerable, generar un nuevo tratamiento del riesgo y evaluar la eficacia
del tratamiento.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 27
Figura 5. Decisiones 4 T
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 28
• Tratar.
• Tolerar.
• Transferir.
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
• Terminar.
El tratamiento continuo de los riesgos incluye tareas tales como las siguientes:
Así, cuando, por cualquier razón, por ejemplo, porque se incrementa la probabilidad o el
impacto del riesgo o porque se debilitan los controles, el riesgo residual supera el apetito de
riesgo de la organización, se abre la necesidad de implementar controles adicionales o de mejo-
rar la efectividad de los existentes.
Controles
Riesgo
inherente
Necesidad de implementar
Riesgo controles adicionales
residual Apetito
de riesgo
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 29
En todo caso, las personas responsables de la toma de decisiones deberían estar entera-
das de la naturaleza y amplitud del riesgo residual después del tratamiento del riesgo. Como
hemos indicado anteriormente, el riesgo residual se debe documentar y someter a seguimiento
y revisión.
Toda opción de tratamiento que se considere debe ser evaluada atendiendo a la necesi-
dad de recursos y su eficiencia comparativa. Cuando el coste de implantación o mejora de los
controles es relativamente bajo en relación con la minoración del riesgo, es necesario definir
un plan de acción que permita reducir la probabilidad y/o el impacto de una potencial pérdida.
En esta tarea es imprescindible la implicación de los responsables de cada una de las áreas,
a quienes les incumbe plantear propuestas de mejora y elaborar un plan de acción especificando:
Para determinar cuáles son los planes de acción más necesarios y convenientes, hay que
establecer unos criterios de priorización que nos ayuden a tomar las decisiones más adecuadas:
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 30
tivos o presupuesto, etc., o bien contar con métodos de estimación más robustos,
siempre que sea posible, como pueden ser un VaR cuantitativo o cualitativo.
• Análisis de cuál será el previsible ahorro que podemos tener en el importe poten-
cial de la pérdida en caso de materialización del riesgo aplicando los planes de
acción posibles. En este caso, y dado que no podemos probar la efectividad de los
controles que aún no han sido implantados, la mejor opción para simplificar el
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
procedimiento es delimitar el mencionado ahorro en porcentajes sobre el riesgo
potencial.
• Estimación del coste de implantación de los planes de acción considerados.
7. SEGUIMIENTO Y REVISIÓN
1. Si trata de datos cuantitativos, la nueva información sobre los eventos se irá aña-
diendo para
2. comprobar si su importancia ha aumentado anormalmente.
3. Evaluar si los indicadores de riesgo empleados han proporcionado alertas tempra-
nas de estas anomalías.
4. Enjuiciar la eficacia de los procedimientos de control y mitigación.
Es necesario promover la comprensión de los riesgos del negocio por parte de todos
los miembros de la organización, la adopción de la prudencia como un criterio básico en la
actividad diaria y la asunción de responsabilidades en cuanto a los planes de mitigación de
los riesgos.
El desarrollo del mapa requiere que todos los niveles de dirección en la empresa estén invo-
lucrados en la gestión de los riesgos y que los miembros de la organización se hagan corres-
ponsables de esta problemática.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 31
• Asegurar que los controles son eficaces y eficientes, tanto en su diseño como en
su funcionamiento. Obtener información adicional para mejorar la apreciación del
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
riesgo.
• Analizar y sacar conclusiones de los incidentes que se produzcan.
• Detectar cambios en el contexto, tanto interno como externo de la organización.
• Identificar riesgos emergentes o cambios en los riesgos ya identificados que pue-
dan requerir la revisión de los tratamientos de los riesgos o de las prioridades.
La última fase del proceso de gestión de riesgos es la que asegura que las actividades reali-
zadas sean trazables. De esta forma, los registros proporcionan, además, la base para la mejora
de los métodos, de las herramientas y del proceso en su conjunto.
Un Key Risk Indicator nos ayuda a predecir si nos acercamos a un factor de riesgo. Medi-
mos el movimiento de los factores de riesgos (por ejemplo, proyectando tendencias) para cam-
biar estrategias. Para que el análisis sea eficaz, lo debemos vincular a lo que llamamos red flags,
valores de riesgo que deben indicarnos que es necesario algún tipo de actuación:
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 32
Figura 7. Indicadores
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
8. EFICACIA DE LA EVALUACIÓN DEL RIESGO DE CUMPLIMIENTO
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 33
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 34
ACTIVIDADES DE AUTOCOMPROBACIÓN
Enunciado 1
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Señale cuál de los siguientes no es un elemento del riesgo de cumplimiento:
a) Riesgo de crédito.
b) Riesgo financiero.
c) Riesgo reputacional.
d) Riesgo de sanciones.
Enunciado 2
Señale cuál de las siguientes puede ser considerada como una fuente de pérdidas financie-
ras en relación con el riesgo de cumplimiento:
a) Sanciones.
b) Multas.
c) Pérdidas financieras.
d) Todas las respuestas son válidas.
Enunciado 3
Enunciado 4
Señale cuál de los siguientes no es un elemento que defina una evaluación de riesgos de
cumplimiento diseñada de manera efectiva:
a) Priorizar riesgos.
b) Asignar estos riesgos a los propietarios de riesgos aplicables.
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 35
Enunciado 5
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Enunciado 6
¿Qué institución elaboró un documento sobre la función de compliance para los bancos?
Enunciado 7
Enunciado 8
Al analizar los factores que componen el riesgo, ¿qué entendemos por impacto legal?
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 36
Enunciado 9
Al analizar los factores que componen el riesgo, ¿qué entendemos por impacto reputacional?
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
b) Impacto negativo con respecto a la línea de fondo de la organización, precio de la
acción, futuro potencial de ganancias o pérdida de la confianza del inversor.
c) Impacto por eventos adversos, como embargos.
d) Daño a la organización, reputación o marca, por ejemplo, mala prensa o discu-
sión social o en los medios, pérdida de la confianza del cliente o disminución de
la moral de los empleados.
Enunciado 10
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 37
Solución 1
a) Riesgo de crédito.
Solución 2
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Solución 3
Solución 4
Solución 5
Solución 6
Solución 7
Solución 8
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
│ Sumario
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 38
Solución 9
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
Solución 10
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".
Sumario │
MONOGRÁFICO UNIDAD 6
GESTIÓN DEL RIESGO DE COMPLIANCE
DE COMPLIANCE 39
P.º GRAL. MARTÍNEZ CAMPOS, 5 y PONZANO, 15. 28010 MADRID • GRAN DE GRÀCIA, 171. 08012 BARCELONA • ALBORAYA, 23. 46010 VALENCIA
"Todos los derechos reservados. Cualquier forma de reproducción, distribución, comunicación pública o transformación de esta obra solo puede ser realizada con la autorización del Centro de Estudios Financieros, CEF, salvo excepción prevista
por la ley. Diríjase a CEDRO (Centro Español de Derechos Reprográficos, www.cedro.org) si necesita fotocopiar o escanear algún fragmento de esta obra (www.conlicencia.com; 91 702 19 70 / 93 272 04 47)".