El artículo 31 bis del Código Penal, al señalar los requisitos que deben tener los Modelos de Compliance, establece que estos Modelos “Identificarán las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos”. Por ello, a continuación definimos qué es el mapa de riesgos compliance y cómo se elabora.

Este requisito supone, en la práctica, la realización de un proceso de evaluación de riesgos en la empresa u organización, pues no debe olvidarse nunca que Compliance es, en esencia, una función de gestión de riesgos (risk management), una función de prevención, frente al tradicional carácter reactivo de nuestro ordenamiento jurídico.

Para llevar a cabo la evaluación de riesgos de una empresa u organización, resulta fundamental conocer la estructura de la misma, su actividad, su organigrama, sus procesos internos y los elementos que puedan integrar su sistema de control ya existente.

En concordancia con lo anterior, desde Grupo Adaptalia realizaremos entrevistas con las diferentes áreas o departamentos de su empresa u organización, lo que nos permitirá conocer en profundidad las funciones desarrolladas y, por tanto, la diversidad de perfiles de riesgo existentes.

Qué es el mapa de riesgos de compliance

El mapa de riesgos es el resultado del proceso de evaluación de riesgos, configurándose como la representación gráfica del universo de riesgos al que se ve expuesta una determinada empresa u organización, haciendo uso normalmente de mapas de calor o histogramas.

Mediante el mapa de riesgos de Compliance podremos conocer cuáles son los riesgos legales y de cumplimiento a los que se encuentra expuesta una empresa u organización y, conforme a ello, adoptar las correspondientes medidas y controles de mitigación, prevención, detección y gestión del riesgo.

El mapa de riesgos es un elemento fundamental para representar gráficamente el universo de riesgos al que está expuesta una empresa u organización.

Cómo obtener el mapa de riesgos en la empresa

Como sea indicado anteriormente, el mapa de riesgos de una empresa u organización se obtiene mediante un proceso de evaluación de riesgos, el cual estará integrado por tres fases fundamentales:

  • Identificación de riesgos
  • Análisis de riesgos
  • Valoración de riesgos

El mapa de riesgos y, por supuesto, el proceso previo de evaluación de riesgos del que deviene, se constituyen como la base sobre la que se sustenta el Modelo de Compliance de la empresa u organización, pues el perfil de riesgo de la misma determinará las medidas y controles que pueden implantarse para mitigar, prevenir, detectar o gestionar el riesgo concreto.

Estas medidas y controles, por tanto, deberán ser adecuadas al perfil de riesgo de la empresa u organización, evitando implantar medidas y controles que puedan resultar ineficaces o que puedan ralentizar o impedir el desarrollo ordinario del negocio o de la actividad.

Identificación

Identificación de los riesgos

Es la determinación de los riesgos susceptibles de comisión en una determinada empresa u organización, teniendo en cuenta circunstancias como su tamaño, actividad, sectores en los que opera, entorno normativo aplicable, etc.

Análisis

Análisis de los riesgos

Consiste en llevar a cabo una evaluación de la posibilidad de que se materialice un riesgo previamente identificado y, asimismo, de las consecuencias derivadas de la materialización de dicho riesgo, para lo cual se hará uso de las dos variables clásicas utilizadas en los procesos de risk management:

  • Impacto. Consecuencias derivadas de la materialización efectiva del riesgo, desde un punto de vista legal, económico, reputacional, etc.
  • Probabilidad. Posibilidad de que se materialice un riesgo, teniendo en cuenta aspectos tales como las actividades o conductas a través de las cuales podría materializarse (actividades o conductas de riesgo), áreas o departamentos afectados, porcentaje de profesionales que pueden desarrollar las actividades o conductas de riesgo, frecuencia de realización de las actividades o conductas de riesgo, antecedentes de incumplimientos, etc.
Valoración

Valoración de los riesgos

Es la parametrización de los riesgos previamente identificados y analizados en una empresa u organización, conforme a su mayor o menor grado de incidencia, relevancia o amenaza.

Esta parametrización nos permitirá obtener los diferentes valores de riesgo existentes, que se plasmarán en el mapa de riesgos, obteniéndose, de esta forma, el valor de los denominados riesgos inherentes.

El riesgo inherente es el riesgo intrínseco de la empresa u organización, es decir, el riesgo existente en abstracto, antes de tener en cuenta la aplicación y eficacia de las diferentes medidas y controles establecidos para mitigar, prevenir, detectar y gestionar los riesgos existentes.

Además del mapa de riesgos inherentes, es fundamental llevar a cabo la elaboración del mapa de riesgos residuales.

El riesgo residual es el riesgo real y existente en una empresa u organización una vez se ha tenido en cuenta la eficacia de las medidas y controles establecidos para llevar a cabo la mitigación, prevención, detección y gestión del riesgo.

Lógicamente, los niveles de riesgo residual deberán ser menores que los niveles de riesgo inherente.

Por otro lado, la eficacia de estos controles y medidas también deberá ser evaluada, de tal forma que, si se produjese algún incumplimiento de las medidas o controles, el Modelo de Compliance deberá poner en marcha con carácter inmediato la aplicación de los correspondientes medidas correctivas.

Revisión de Compliance a través del mapa de riesgos

El artículo 31 bis del Código Penal, al señalar los requisitos que deben tener los Modelos de Compliance, establece que estos Modelos deberán ser objeto de una verificación periódica.

En este sentido, las empresas y organizaciones deberán llevar a cabo periódicamente una revisión y actualización de su Modelo de Compliance, por lo que el proceso de evaluación de riesgos, como base del Modelo, deberá ser actualizado, a fin de verificar si han tenido lugar hechos o circunstancias que pudieren alterar el perfil de riesgo de la empresa u organización, tales como modificaciones en su estructura o actividad, cambios del entorno normativo, pronunciamientos jurisprudenciales relevantes, mediciones realizadas sobre la eficacia del sistema de control y de las medidas y controles implantados, incumplimientos del propio Modelo de Compliance, etc.

La información contenida en el mapa de riesgos permitirá determinar aquellos riesgos con mayor incidencia, relevancia o amenaza para la entidad.

Suscribete a nuestra Newsletter