Riesgos legales: tipos y normativa

La palabra “riesgo” proviene de la palabra árabe “rizq”, que hace referencia a lo que
depara la providencia. El concepto de riesgo alude, por tanto, a la probabilidad de una
contingencia o de sufrir algún daño.
Aunque lo parezca y en algunos casos se dé por asumido, el riesgo es algo
consustancial a la condición humana y a la hora de adoptar cualquier decisión se
asume. Centrándose en el ámbito financiero, se habla de riesgo para aludir a la
probabilidad de sufrir una pérdida o quebranto económico.

El establecimiento de sistemas de control interno y externo sobre la estabilidad y

solvencia de las empresas, requeridos por las prácticas de buen gobierno, exige la
capacidad de las mismas para establecer modelos dinámicos que permitan evaluar la
situación de la empresa ante la concreción de determinados riesgos desfavorables,
que pudieran ser objeto de aseguramiento con terceros.
El buen gobierno de una sociedad, en general, exige el establecimiento de una gestión
de riesgos eficaz que permita a la dirección de la empresa tomar decisiones, por lo
que las organizaciones deben analizar los riesgos que les son propios de su actividad
y mantener unos mecanismos específicos de control interno y externo que aseguren la
supervisión continuada de los mismos.
El diseño de un proceso de implementación de la gestión de los riesgos en las
empresas no pretende establecer procedimientos de aplicación mecánica para su
desarrollo, sino servir como guía o marco general para el desarrollo de un diseño
propio de implementación de la gestión de los riesgos. Cada proceso deberá ser
objeto de estudio particular, analizándose en cada caso la necesidad de adaptación de
los cuestionarios, documentos, listados, análisis, etc.

El esquema de diseño puede resumirse en:

 Conocer la organización. ¿Cómo es la organización?

 Analizar los sistemas de control. ¿Están controlados los riesgos?
 Analizar los riesgos. ¿Qué riesgos amenazan a la organización?
 Gestión de los riesgos. ¿Qué tratamiento deben dar a los riesgos?
El control de gestión de riesgos y la auditoría de riesgos son técnicas diferentes, pero
complementarias. La unión de estos procesos permite la correcta gestión de los
riesgos empresariales.
 El control de gestión es un proceso continuo que se realiza, dependiendo de la
empresa y del área:

1. Dos veces al día. Por ejemplo, tesorería o liquidez en un banco.

2. Una vez al día. Por ejemplo, ventas de un hipermercado.
3. Una vez a la semana. Por ejemplo, distribución de productos financieros en una
aseguradora.
4. Una vez al mes. Por ejemplo, beneficios en la mayoría de las empresas.
En cambio, la auditoría de riesgos es un proceso discontinuo, que permite analizar en
profundidad ciertos hechos relevantes o aleatorios, dependiendo del método de
muestreo que se utilice.

El control de gestión de riesgos se realiza con los indicadores estipulados en el plan

estratégico de la empresa, por lo que es predecible lo que busca. Por otro lado, la
auditoría revisa la información basada en una metodología a aplicar, pero no con unos
indicadores determinados, por lo que es más difícil de evadir en el caso de
incumplimiento de la normativa.

La combinación de control de gestión y auditoría de riesgos permite:

1. Llevar un control de las variables más importantes definidas por la empresa.

2. Detectar de forma temprana cualquier desviación del plan estratégico.
3. Determinar la violación de las normativas de la empresa y poder tomar los
correctivos necesarios de forma temprana.
Generalmente, las dos áreas se complementan de la siguiente manera:

1. El área de auditoría lee los informes y las desviaciones señaladas por el área
de control de gestión antes de realizar una auditoría, para saber dónde puede haber
desviaciones.
2. El área de control de gestión lee los informes de auditoría para implantar
nuevos indicadores que puedan detectar de forma temprana las desviaciones
señaladas por la auditoría.
La unión de estas dos técnicas nos permite gestionar adecuadamente los riesgos que
ya han sido previamente identificados y evaluados. Incluso, si se presenta alguna
anomalía durante la aplicación de estas técnicas, se podrían encontrar nuevos riesgos
no identificados previamente.

La metodología Enterprise Risk Management (ERM) describe el conjunto de

actividades que las empresas deben realizar frente a los riesgos que enfrenta,
mediante un método holítisco, estratégico e integrado. El ERM incluye métodos y
procesos para la gestión de riesgos empresarial.
Con la metodología ERM, las organizaciones pueden aprovechar sus oportunidades
para alcanzar los objetivos que se hayan planteado. Enterprise Risk Management
facilita a las empresas un marco para la correcta gestión de riesgos.
La evaluación de riesgos empresariales es un proceso sistemático para la
identificación y evaluación de eventos, es decir, posibles riesgos y oportunidades, que
podrían afectar a la consecución de los objetivos, positiva o negativamente.
La evaluación de riesgos proporciona un mecanismo para la identificación de los
riesgos que representan oportunidades y que representan peligros potenciales para el
negocio. Si se hace bien, una evaluación de riesgos ofrece a las organizaciones una
visión clara de las variables a las que puedan estar expuestos, ya sean internos o
externos, retrospectiva o prospectiva.
El fundamento del ERM es que el valor se maximiza cuando la toma de decisiones y
los objetivos por alcanzar tienen un equilibrio óptimo entre el crecimiento, los
objetivos de beneficio y los riesgos.

Pasos para la gestión del riesgo empresarial

Los pasos a seguir por una empresa para gestionar los riesgos son:

 Definición del alcance. Debe ser lo suficientemente claro para definir lo que
hace la empresa.
 Identificación de los riesgos. Se trata de identificar la exposición de una
empresa a la incertidumbre. Requiere un conocimiento detallado de la empresa, el
mercado en el que opera, entorno legal, social, político y cultural que lo rodea, así
como el desarrollo de una visión común y coherente con la estrategia y los
objetivos, incluyendo factores críticos para su éxito.
 Descripción de los riesgos. Mostrar los riesgos que están identificados de una
forma estructurada.
 Estimación de los riesgos. Puede ser cuantitativa, semicuantitativa o cualitativa
en término de probabilidad de ocurrencia con posibles consecuencias, en términos
de amenazas (altas, medias o bajas).
 Evaluación de los riesgos. Se comprobarán los riesgos estimados, con criterios
establecidos por la empresa.
 Tratamiento de riesgos. Seleccionar y aplicar medidas para modificar el riesgo. 
 Política de gestión de riesgos. Debe definir el enfoque, el apetito al riesgo y las
responsabilidades de gestión de riesgos en toda la empresa.

El riesgo es la exposición a una situación donde hay una posibilidad de sufrir un daño
o de estar en peligro. Sin duda alguna, la empresa se ve afectada por una infinidad de
riesgos que inciden sobre la propia gestión empresarial y sobre el patrimonio, material
e inmaterial de la empresa.
 La Gestión de Riesgos ha de contemplar las principales amenazas de cualquier
empresa. Principalmente, son las siguientes:
 Daño de reputación/marca.
 Desaceleración económica.
 Aumento de la competencia.
 Cambios regulatorios.
 Delitos/hacking.
 No innovación.
 Falta de atracción del talento.
 Interrupción de negocio.
 Riesgo político.
 Responsabilidad civil.
Para identificar los riesgos empresariales, es necesario inicialmente tener claridad
acerca de los tipos de riesgos inherentes al carácter de la empresa, con el fin de que
su administración de riesgos sea integral, no fragmentaria y parcial. La variedad de
riesgos puede ser alta, igual que las formas de clasificarlos y abordarlos. Por lo tanto,
no es posible establecer una única clasificación de tipos de riesgos empresariales.
Hay que diferenciar los riesgos generados por el entorno organizacional y los riesgos
generados en la empresa:

1. Riesgos del entorno: provenientes de la naturaleza, generados a la naturaleza

por parte de la empresa, riesgo país, riesgo geopolítico, riesgo social, riesgo
económico, riesgo político, riesgo sistemático.
2. Riesgos generados en la empresa: no sistemáticos, riesgo de reputación,
riesgo puro, riesgo especulativo, riesgo estratégico, riesgo operativo, riesgo
financiero, riesgo legal, riesgo tecnológico, riesgo laboral, riesgo físico.

Riesgo legal
El riesgo legal se puede definir de varias maneras, aunque las más extendidas son:
 La directa de posibilidad de pérdidas, debido al incumplimiento (o
imperfección) de la legislación que afecta a los contratos financieros o la
imposibilidad de exigir el cumplimiento del contrato legalmente.
 La indirecta, como riesgo de cambio regulatorio por parte de las autoridades
(gubernamentales) competentes (local, nacional o internacional) de la normativa
de una forma que afecte adversamente a la posición de la entidad financiera.
El riesgo legal se presenta como la probabilidad de producirse pérdidas porque bien
las actividades de la empresa no están conformes con la legislación y la normativa
vigente o porque la contraparte no tiene la autoridad legal para realizar una
transacción. Hay que tener en cuenta que un juicio o disputa legal puede generar
hasta el cierre de una empresa
 Escrito porEALDE
 
 Categorías GESTIÓN DE RIESGOS
 
 Fecha4 JUNIO, 2019
 
 Comentarios0 COMENTARIOS
 TagsGESTIÓN DE RIESGOS, MAPA DE RIESGOS, RIESGOS LEGALES, SISTEMA DE GESTIÓN
DE RIESGOS
Las empresas de mayor reputación son las que más se cuidan de incurrir en riesgos legales.
Las organizaciones deben evaluar bien sus riesgos y no afectar la marcha del negocio con
actos que afecten su reputación.
Las amenazas que se derivan del incumplimiento de obligaciones legales y contractuales
deben tenerse en consideración a los efectos de disponer de un mapa de riesgos completo,
así como de un sistema de gestión de riesgos que permita identificarlos, valorarlos y
gestionarlos de forma adecuada.
 Tipos de riesgos legales
Los riesgos legales pueden clasificarse a su vez en:

 Corporativos.
 Activos.
 Contractuales.
 Litigio.
 Regulatorios.
 Constitutivos.
 Territoriales.
 Extintivos.
De los distintos riesgos expuestos se deduce que los riesgos de naturaleza jurídica de la
empresa están multilocalizados y que cada área funcional aglutina tanto riesgos generales
como los propios de su realidad específica. Esta circunstancia impide aplicar un único
patrón de control de riesgos legales a todas las áreas funcionales, so pena de que lo útil para
una sea inútil para otra. 

Desde luego, los responsables de las distintas áreas funcionales debieran conocer en esencia
los focos de riesgos jurídicos susceptibles de afectar a sus respectivas actividades, aunque
no sean profesionales del derecho.

Normativa 
En este contexto, a las distintas divisiones de la empresa le van a afectar distintas
normativas.

La división financiera ha de contemplar:

 Normativa y recomendaciones de buen gobierno.

 Normativa de sociedades mercantiles.
 Normativa concursal.
 Normativa de regulación financiera.
 Normativa de derecho de competencia.
 Tributaciones.
La dirección comercial debe tener en cuenta:

 Normativa de derechos de consumidores y usuarios.

 Normativa de responsabilidad de producto.
 Normativa de derecho de competencia.
 Normativa de competencia ilícita.
 Normativa de contratos de colaboración comercial.
 Normativa laboral especial de representantes de comercio.
 Aspectos relacionados con la tributación indirecta.
La dirección administrativa tiene que considerar:
  Normativa relacionada con la propiedad inmobiliaria.
 Normativa lingüística y de señalización.
 Normativa medioambiental.
 Regímenes especiales.
El área de Marketing ha de contemplar:

 Normativa de publicidad.
 Normativa de derechos de consumidores.
 Normativa de competencia ilícita.
 Normativa de protección de distintivos.
 Normativa de etiquetaje.
Compras y Ventas deben tener en cuenta:

 Normativa de derechos de consumidores y usuarios.

 Normativa de responsabilidad de producto.
 Normativa de trazabilidad de producto.
 Tributación.
Exportación/importación tiene que considerar:

 Normativa de control de cambios.

 Normativa que regula importaciones.
 Normativa fiscal.
 Normativa aduanera.
 Normativa de contratos de colaboración comercial.
Al resto de áreas de la compañía, expansión, logística, investigación y desarrollo,
tecnologías de la información, recursos humanos,… también les afecta normativa
específica.

Focos de riesgos legales

Los principales focos de riesgos legales que potencialmente afectan a la mayor parte
de las funciones de una organización empresarial son los siguientes:
 Normativa laboral.
 Normativa sobre la protección de datos laborales.
 Normativa mercantil sobre administradores de hecho y de derecho.
 Normativa fiscal.
Cuando la empresa está frente a una gestión de riesgos debe plantearse tres
preguntas:
 ¿Qué puede fallar?
 ¿Qué puede hacerse?
 ¿Cómo mantener la continuidad?

Funciones de la gestión de riesgos

 Entre las funciones de la gestión de riesgos se encuentran:

1. Identificación, evaluación de los riesgos y establecimiento de las regulaciones

necesarias.
2. Control de las pérdidas.
3. Financiación de riesgos.
Todo lo que se realice en materia de gestión de riesgos es esencial para la correcta
definición y puesta en práctica de la estrategia de la empresa y el desarrollo futuro del
negocio.

Fases de la gestión de riesgos legales

El estudio de riesgos legales implica tres actividades que tienen mucha similitud entre
sí: la identificación, el análisis y la evaluación de riesgos. Es en esta fase donde tiene
una importancia fundamental el concepto de coste total del riesgo.
La implementación abarca la implementación de los instrumentos o técnicas de
respuesta a los riesgos. Son operaciones dedicadas a ejercer influencias con el
objetivo de alcanzar parámetros, que se alinea con las metas específicas de la
empresa y convertir de este modo los riegos en riesgos aceptables. se persigue
eliminar o evitar el riesgo, preverlo, reducirlo, retenerlo o transferirlo.

En la fase de control, se concede el papel principal a los procesos de monitoreo,

control, comunicación en el marco de la empresa, que está expuesto a riesgos. Se
realiza un monitoreo, sistema de control y comunicación.

5 pasos para hacer un mapa de riesgos en

Compliance
El mapa de riesgos es una herramienta de gran utilidad en Corporate Compliance.
Teniendo en cuenta la norma ISO 19600, este instrumento se podría encuadrar en el
apartado de “planificación” del Sistema de Gestión de Compliance. Y es que, el mapa
de riesgos en Compliance permite recopilar, de una manera simple y visual, todos los
elementos que nos resultan necesarios para analizar los riesgos de Cumplimiento y, a
la vista de ello, poder establecer un plan de acción efectivo.
Si bien, la elaboración de un mapa de riesgos no es sencilla, puesto que requiere
recopilar mucha información. Es importante ser rigurosos en su diseño, puesto que de
lo contrario se corre el riesgo de que sea una bonita presentación que no tenga
utilidad real.
Pasos para crear el mapa de riesgos en
Compliance
A la hora de generar un mapa o matriz de riesgos en el área de Compliance de una
organización o una entidad financiera, es importante tener en cuenta los siguientes
factores:
1. Crear un inventario de riesgos de Cumplimiento
El primer paso es sin duda conocer todos los riesgos que afectan a la organización en
materia de Compliance. Es decir, para poder empezar a trabajar en una gestión de
riesgos de Compliance, lo primero que tenemos que hacer es conocer cuáles son
esos riesgos y crear una lista con ellos.
2. Asignar un responsable para cada riesgo
El riesgo de incumplimiento de leyes, normativas o códigos de conducta se puede
asociar directamente a áreas de actividad o negocio. De esta forma, el responsable de
cada área será a su vez el encargado de adoptar o vigilar que se cumplen las acciones
para evitar riesgos. La idea, por tanto, es que cada tipo de riesgo tenga un encargado
de gestionarlo.

3. Medir la probabilidad de ocurrencia de un incumplimiento

Uno de los pasos más importantes para crear un mapa de riesgos en Compliance o
Cumplimiento Corporativo es medir la probabilidad de que se produzca un
incumplimiento. Es decir, que el riesgo se materialice, dando lugar a un evento
negativo. Para ello, se debe recabar la suficiente información para estimar esta
probabilidad. En el mapa de riesgo, esta probabilidad se puede indicar, por ejemplo,
como “poco probable”, “muy probable” o “altamente probable”. En función de cada
caso, se adoptarán unas acciones u otras.
4. Calcular el impacto del riesgo de incumplimiento
Una vez conocida la probabilidad con que estimamos podría producirse un evento
negativo, trataremos de estimar el impacto que tendría sobre la organización. En
términos estadísticos, se puede utilizar la fórmula “riesgo = Probabilidad x Impacto”.  
Por lo general, en el mapa de riesgos, la probabilidad de incumplimiento se sitúa en el
eje vertical y el impacto de dicho incumplimiento en el eje horizontal.

5. Definir un grado de tolerancia al riesgo

Una vez definidos los riesgos a los que nos enfrentamos, la probabilidad de que se
materialicen, y el impacto que tendría en la organización, el último factor a tener en
cuenta es el grado de tolerancia que se tiene a cada riesgo.  Esto se conoce como el
“apetito de riesgo” y hace referencia al nivel de riesgo que está dispuesta a asumir
cada organización. Suele ser la alta dirección la que estime qué riesgos se podrían
asumir y cuáles necesitar un plan de acción que cuente con mayores recursos.
Ejemplo de mapa de riesgo en Compliance
La información recopilada en los pasos anteriores se plasma en una representación
gráfica como veremos a continuación.  Si bien, lo verdaderamente importante es el
análisis que se lleva a cabo como base de dichos mapas de riesgos.