Fases de elaboración de un mapa de riesgos (compliance)

Fases de elaboración de un mapa de riesgos en el compliance

Determinación del contexto

El primer paso es que poseer un conocimiento total de la empresa a la que debemos enfrentarnos, incluyendo el negocio en el que se desarrolla, el personal y la propia infraestructura. Es por esta razón por la que el compliance officer debe estar constantemente conectado y consultado por el propio personal de la empresa, tanto personal directivo como subordinado, pues son realmente los sujetos que pueden apuntalar un buen comienzo de una confección del mapa de riesgo.

En este sentido, es importante identificar una serie de factores que ayudarán en esta labor, a saber:

El objeto social y productos o servicios que la empresa comercializa

No es posible confeccionar un buen mapa de riesgos si no se tiene conocimiento del objeto social de la empresa y el producto o servicio que la misma ofrece en el mercado. 

Por ejemplo, es evidente que las necesidades de una empresa de comercio online no será la misma que aquella que disponga de un establecimiento abierto al público o que, en otro caso, combine ambas posibilidades de venta.

Tipología de infraestructura que dispone la empresa

Conectado con el punto anterior, es preciso conocer la infraestructura que maneja la empresa. Con ello nos referimos, por ejemplo, a los canales de distribución que puedan utilizar en sus productos. Así, siguiendo el ejemplo del apartado anterior, poner un producto a la venta en una página web con métodos de pago online en los que se recaben métodos de manera telemática datos bancarios y demás datos identificativos reviste unos riesgos que no existen en caso de que el canal de distribución o de puesta a disposición del producto sea presencial, donde se minimizaría el impacto sobre el derecho a la protección de datos del consumidor, por ejemplo.

Zona geográfica de influencia

Conocer la zona de actuación del negocio de la empresa es fundamental por múltiples razones, pero sobre todo para conocer el volumen de sujetos sobre el que se opera y, en sentido proporcional, el volumen de riesgos que puedan materializarse.

En efecto si estamos ante una pyme que opera únicamente con clientes del municipio en el que esté localizada en la que el foco de riesgo se circunscribe a dicho territorio. Sin embargo, si estamos ante una pyme que cuenta con una cuenta de venta online, los posibles riesgos que lleve intrínseca la empresa tienen una mayor probabilidad de impacto al existir una mayor escala de individuos sobre los que opera y recae el negocio.

Distribución interna y externa de las partes que operan con la empresa

Es importante conocer las partes que toman contacto con la estructura empresarial, tanto a nivel laboral como a nivel clientes y proveedores. Es evidente que no tiene la misma estructura una empresa que tenga 500 empleados y una que tenga 5. Al igual que no es lo mismo que la cartera de clientes de la sociedad sea amplia o escueta, o que el potencial cliente tipo pueda incurrir a menores o personas con discapacidad.

Este será uno de los factores más importantes a la hora de elaborar el mapa de riesgos, pues a nivel interno será necesario implantar una cultura de cumplimiento por medio de la formación de los empleados y a nivel externo se deben establecer los procedimientos para la toma de decisiones.

Factores de riesgo generales

Teniendo en cuenta los condicionantes que ya hemos expuesto, a continuación, se debe establecer los riesgos genéricos en los que puede verse envuelta la sociedad. Con relación a estos riesgos, es completamente normal que se compartan con otras entidades del mismo tipo de negocio.

Cuando hablamos de riesgos generales nos referimos a riesgos tales como medioambientales, riesgos asociados a la protección de datos de carácter personal, de tipo penal o riesgos laborales. Todas estas categorías pueden contener diversos tipos de riesgo concretos que se analizarán más adelante.

Organización de los mandos de la sociedad y demás órganos involucrados en la toma de decisiones

La incorporación de un programa de cumplimiento debe realizarse en torno a una estructura piramidal, de arriba hacia abajo. Primero debe identificarse y entender los procesos en la toma de decisiones provenientes de los mandos de la empresa para posteriormente canalizarlas a través de una cultura de cumplimiento.

Conocimiento del contexto legal

Es evidente que para lograr el cumplimiento normativo por parte de la empresa y de los sujetos relacionados, es esencial conocer qué normas son de aplicación a la entidad. Las normas aplicables pueden variar en función del tipo de sociedad, actividad que realiza o el canal de distribución de productos que utilice. 

Por ello es importante que el compliance officer encargado de realizar el mapa de riesgos tenga conocimientos legales. Además, este es un buen momento para discernir si la entidad necesita algún certificado concreto del que no disponga o, en su defecto, si tiene margen de implementación de ciertos certificados de calidad que puedan favorecer su imagen cultura de cumplimiento.

También es relevante tener conocimiento de las propias normas internas de la entidad, esto es, de cualquier política interna o procedimiento, incluido un código de conducta, si existe. Aunque no se encuentre documentado, cualquier empresa tiene un método organizado para la consecución de ciertos objetivos o prácticas desde la protección de datos hasta políticas de higiene. La idea es que el compliance officer sepa documentar tales políticas internas e incluso crear un código de conducta adecuado a la imagen fiel de la entidad, en el que incardine todas las políticas.

Delimitación de la actuación del programa de compliance

La implantación de un programa de prevención de delitos es una buena ocasión para implementar un corporate compliance que satisfaga todas las necesidades de la empresa. Es por ello que en el contexto de elaboración del mapa de riesgo debería prestarse atención a todas las áreas que necesitan in programa de cumplimiento y prevención, a la hora de delimitar los aspectos concreto que se van a canalizar a través del mencionado programa y de la cultura de cumplimiento.

Identificación de riesgos

El siguiente paso es identificar los riesgos, esto consiste en un listado exhaustivo y completo con todos los detalles de los acontecimientos que se pueden dar dentro de la entidad y que, en caso de que así fuera, supondrían un impacto económico, reputacional y financiero para la empresa.

Siguiendo el criterio de determinado en las normas ISO 31000 y 31010 el procedimiento de identificación del riesgo supone la búsqueda, reconocimiento y descripción de los riesgos existentes en la persona jurídica concreta, debiendo registrarse al objeto de llevar a cabo una compilación relacionada de los mismos. La finalidad de esta fase será identificar las causas del riesgo que se identifique y las consecuencias de la materialización de dicho riesgo, dicho de otro modo, la cuantificación del impacto que pueda causar el incumplimiento.

A TENER EN CUENTA. La tarea de identificación de los riesgos supone una actividad dinámica en constante actualización, nunca una imagen fija de la empresa. De nada servirá tener un mapa de riesgos que se haya elaborado con demasiada antigüedad si los riesgos que se encuentran relacionados en el mismo no se han actualizado desde entonces.

Para llevar a cabo esta tarea de identificación surgen múltiples cuestiones sobre cómo ponerla en práctica, por dónde empezar la identificación, cómo llevarla a cabo, qué información se debe poseer o consultar y la metodología práctica que debe utilizarse. Estas preguntas son la columna vertebral de este procedimiento y es fundamental que el encargado de confeccionar esta identificación responde a cada una de ellas valiéndose de toda la información posible. Para ello es necesario el contacto constante con todo el personal de la empresa, no solo de la alta dirección, sino de otros departamentos subordinados, al objeto de poseer todos los datos necesarios.

CUESTIÓN

¿Qué medios pueden usarse para mantener el contacto con todos los empleados?

Debemos tener en cuenta las condiciones de la empresa ya que si estamos ante una pyme el personal será, por lo general, reducido, pero podemos encontrarnos con estructuras más complejas o con un mayor número de empleados. Existen múltiples medios para mantener el contacto con el personal, a título ejemplificativo podemos señalar: 

• Remisión de cuestionarios.
• Entrevistas presenciales o telemáticas con el personal.
• Entrevistas con asesores externos, auditores o proveedores de la empresa.

Resulta especialmente relevante que cualquier contacto que se mantenga con el personal de la entidad se pueda documentar en un soporte accesible al objeto de que el compliance officer o el encargado de llevar a cabo esta labor pueda consultarlo cuantas veces lo necesite. Por ejemplo, si se realicen cuestionarios o informes de auditoría externa sería conveniente remitirle una copia, en caso de las entrevistas que las mismas se graben —preferiblemente sólo el audio, al objeto de minimizar el impacto en el manejo de datos personales—.

Teniendo en cuenta lo expuesto y con la advertencia de que cada empresa tiene sus propias circunstancias, es posible establecer una relación de diferentes escenarios que pueden suponer un riesgo para cualquier empresa y que, sobre todo, pueda suponer una guía práctica para cualquier interesado en iniciar un procedimiento de identificación de riesgos.

Escenarios ligados a la actividad de la empresa

• Debe identificarse la necesidad de que contar con diferentes certificados que sean exigibles legalmente para llevar a cabo la actividad. Incluso puede aprovecharse para conseguir otro tipo de certificaciones de calidad o alternativas que supongan una ventaja competitiva.
• Identificar la necesidad de registrar públicamente e algún alto cargo o asesor externo por razón de la labor que realiza. Un ejemplo es la figura del delegado de protección de datos que debe constar inscrito su nombramiento en el registro público que dispone la AEPD.
• Valorar si la empresa se adecua a la normativa vigente que afecta a su actividad empresarial y con mayor importancia, si dispone de los medios necesarios para adelantarse a su aplicación o, en su defecto, para adoptar las nuevas medidas a la mayor brevedad.
• Acreditar que el personal externo, como los proveedores, o colaboradores autónomos, cumple la normativa aplicable. Uno de los modos más eficaces es mediante la celebración de «contratos de garantías de cumplimiento» en los que se exija la presentación de ciertas evidencias que puedan probar sobradamente que dicha entidad externa cumple con la normativa.
• En el ámbito del personal laboral, se debe comprobar cómo es la metodología seguida en los procesos de contratación y selección del personal. Se debe comprobar si se atienden a principios éticos y que no entren en colisión con la igualdad, la diversidad y la no discriminación. Asimismo, se debe comprobar si dentro de la entidad cada empleado tiene designada una función concreta de tal forma que las tareas no se solapen, logrando con ello que el programa de compliance no solo proteja a la empresa de posibles incumplimientos, sino que dote a la empresa de una mejor y más eficiente organización.
• Un aspecto relevante a tener en cuenta es el relativo a la contratación pública. En el caso de que sea habitual que la empresa participe en procesos de contratación pública, deben identificarse las aquellas coyunturas o escenarios que la normativa impone como causas de exclusión de dicho procedimiento.
• Debe identificarse la metodología a través de la cual se producen los pagos por parte de los pagos por parte de los clientes de la empresa, así como los cobros emitidos a los proveedores y demás personal externo que entre en contacto con la empresa. Con esta labor se puede localizar los riesgos inherentes a las operaciones de pago.

Lógicamente, los riesgos identificados en este punto serán de diferentes en todas las empresas, pues los productos puestos en circulación no van a ser los mismos. Sin embargo, la relación de escenarios a identificar que se recoge a continuación puede ser tomada de referencia. Así debe prestarse atención a los siguientes escenarios:

• En el momento en el que se pone un servicio o producto de la empresa en el mercado, se debe poner a disposición de los clientes toda la información necesaria sobre el mismo y para ello el personal de la empresa debe tener un conocimiento en profundidad. Es importante comprobar que se está prestando un buen servicio al cliente en este punto, tanto antes como después de la contratación, ya que una mala praxis puede suponer futuras quejas del cliente o directamente un bajo nivel de ventas.
• Se debe comprobar el plano publicitario de la entidad, entendiendo la publicidad en sentido amplio. Esto es, todos los aspectos relacionados con la promoción y marketing de la sociedad que deben cumplir con la normativa vigente en la materia y no deben suponer imitaciones o engaños al consumidor.

A TENER EN CUENTA. Lo habitual en el ámbito de las pymes es aprovechar las potencialidades que ofrecen las redes sociales al objeto de dar promoción a la empresa. Esta ha de ser el primer ámbito en ser comprobado en busca de algún tipo de irregularidad, especialmente atendiendo al aspecto del engaño a través de listados de opiniones que puedan resultar falsas.

• Otro aspecto relevante que hay que tener en cuenta es el canal de sugerencias o de quejas y reclamaciones que debe tener habilitado la empresa. Debe identificarse si existe el canal y, en caso contrario, instalarlo en el seno de la empresa. Una vez hecho esto, se deben dispensar todas las instrucciones adecuadas sobre cómo atender adecuadamente las quejas o sugerencias vertidas en el canal, procurando responder a todas las que se planteen, debiendo dar una respuesta eficaz y no meramente formal a lo que planteen los consumidores.
• Un aspecto especialmente relevante es el que tiene que ver con el manejo de datos de carácter personal asociados al producto o servicio ofrecido, se debe garantizar que se cumplen las medidas técnicas y organizativas necesarias para brindar toda la seguridad que la información recopilada necesita. 

Escenarios ligados a las zonas geográficas de influencia

Aunque no resulte muy evidente el riesgo que pueda ir asociado a este tipo de escenarios, suele vincularse a empresas con negocios en países asociados al blanqueo de capitales o paraísos fiscales. A estos efectos se deben identificar las relaciones comerciales que tiene la empresa con terceros países, al objeto de elaborar una relación de aquellos en los que existan sospechas de que acobijan las prácticas antes reseñadas.

Asimismo, deben tener en cuenta aquellos países en los que exista algún tipo de conflicto armado o terrorista o estén bajo observación internacional a través de diferentes sanciones comerciales. Y ello debido a que, si la empresa analizada comercia en este tipo de territorios, el riesgo de que dicho negocio encubra operaciones de marcada ilegalidad y reprochabilidad es muy alto y es labor de este identificador el remarcarlo considerablemente.

Escenarios de conducta interna

En este caso deben identificarse los riesgos que tiene que ver con las conductas conflictivas que se den en el seno de la empresa o, mejor dicho, con las normas de conducta que puedan estar implementadas. Así los diferentes escenarios en los que es posible identificar estos riesgos:

• El más habitual y genérico es el relacionado con la existencia de conflictos de intereses entre las diferentes jerarquías que componen la empresa, el hecho de que existan este tipo de escenarios supone la aparición de un foco de riesgo de presiones internas, errores voluntarios e incluso faltas de respeto dentro de la empresa.
• El uso que debe darse de los equipos informáticos y demás soportes destinados a procesar información que proporciona la empresa debiendo destinarse estos con fines exclusivamente profesionales. Otro uso distinto sería un uso incompatible que puede generar riesgos.
• Debe abordarse también el riesgo que suponen los regalos o donaciones descontroladas e incluso las propias vinculaciones que tenga la administración o el resto de personal laboral con la Administración pública. Incluso aceptar algún tipo de invitación preveniente de un proveedor debe ser tenido en cuenta para la identificación del riesgo asociado a este tipo de prácticas. Si se identifica este escenario debe anotarse el foco de riesgo tendente al favorecimiento de concesiones públicas, presiones y fraude interno.
• En caso de que se compruebe que no existe ningún tipo de canal interno de denuncias debe documentarse un amplio abanico de riesgos. Ello es así, porque la inexistencia de canal de denuncias supone la imposibilidad de denunciar situaciones irregulares y en consecuencia decrece la posibilidad de que se produzca algún tipo de alerta sobre estas conductas. 
• Comprobar si los registros de información financiera, contable y económica refleja la imagen fiel de la empresa si, existe algún tipo de mecanismo de control que pueda verificar que esto sea así y denunciar cualquier irregularidad.

Análisis de riesgos

Una vez se haya concluido la identificación de los riesgos con su correspondiente documentación, debe procederse a analizar los mismo. Esta es una labor delicada y reflexiva cuya finalidad es otorgar una valoración o evaluación de los riesgos localizados.

Podemos definir el análisis de riesgos como la relación entre los focos de riesgo —la causa o el origen del riesgo—, la gravedad o impacto que generaría su materialización y la probabilidad de que esto acabe produciéndose en el seno de la empresa. Puede decirse que el análisis del riesgo es responde a la ecuación en la que el riesgo equivale a la probabilidad por el impacto del mismo.

El primer elemento que debemos señalar es el que hace referencia al riesgo inherente que haya sido identificado. Es decir, los escenarios de riesgo identificados hacen referencia al riesgo intrínseco a la propia actividad de la que se desprende o, dicho de otro modo, al riesgo que resulta con anterioridad al tratamiento o intento de control del mismo; el que se ha identificado con carácter previo a la implantación de cualquier tipo de medida o control diseñado para su prevención.

De la ecuación señalada se relacionan dos parámetros que tienen fácil comprensión. Por un lado, el impacto se refiere al conjunto de consecuencias que tendría el evento dañoso —riesgo inherente— en caso de que se acabase materializando y, por otro, la probabilidad es la frecuencia con la que teóricamente se podría llegar a producir el riesgo al no haber controles que la mitiguen. Es importante resaltar el hecho de que la probabilidad se mide en términos puramente teóricos, sin tener en cuenta nada más que la propia contextualización de la empresa realizada en un primer momento y el evento dañoso en si mismo, pues cuantificar dicho parámetro es un paso previo a la medición del riesgo residual que calculará en un momento posterior.

Con relación a la metodología adecuada para llevar a la práctica la ecuación señalada, debemos señalar que no existe una única metodología definida a conciencia en una norma ISO, pudiendo optar por algunos factores según las necesidades del propio compliance officer o empresa afectada.

En este sentido señalaremos una propuesta metodológica centrada en tres posibles métodos calificativos:

• Análisis cualitativo: se utilizará escalas de carácter meramente descriptivo, sin referencia numérica alguna.
• Análisis cuantitativo: se emplean exclusivamente valores numéricos concretos.
• Análisis mixto: se emplearán referencias numéricas concretas en conjunción con valores descriptivos claros.

De estas tres opciones, siempre que el contexto del análisis lo permitiera, lo más recomendable es hacer uso de la tercera, pues ello proporcionaría una imagen más gráfica y completa de la situación de eventos dañosos que pueden darse en la empresa, con una referencia breve pero concisa de la escala asignada a cada riesgo y sus consecuencias.

Aplicando la anterior recomendación a la práctica del análisis de riesgos, comenzando por la medida de la probabilidad, es aconsejable utilizar una escala más bien escueta si nos orientamos a las pymes o microempresas, pues una escala con muchos valores posibles supondría una confusión que restaría claridad al proceso y devendría en una burocracia innecesaria para el objetivo propuesto. De este modo, es preferible agrupar la probabilidad en una escala que contemple los siguientes valores de grado más bajo a más alto:

• Improbable: escenarios de riesgo que podrían aparecer en la empresa, pero de modo muy remoto; muy difícilmente se materializarían de acuerdo con la realidad que presente la empresa.
• Probable: los escenarios de riesgo podrían aparecer en la empresa con más asiduidad que los anteriores, aunque no se trata de riesgos que estén presentes en el devenir común de la empresa; no se reproducen situaciones dañosas ene le día a día de la empresa, pudiendo fijarse una frecuencia concreta —la frecuencia deberá ser valorada por el compliance officer, aunque un lapso de seis a ocho meses debería tomarse como referencia a efectos idóneos—.
• Altamente probable: hace referencia a escenarios de riesgo que pueden ser habituales en la empresa, sin necesidad de pensar en situaciones exageradas o excepcionales.

• Bajo: impacto muy leve en la empresa que únicamente tendría consecuencias de tipo económico —multas o sanciones— sin mayor importancia y desde luego, implicaciones penales o cierre de negocio.
• Alto: se trata de un impacto más agravado que el anterior, aunque tampoco conlleve la disolución de la empresa o un reproche penal reseñable, puede suponer un perjuicio agravado para la empresa por resultar un incumplimiento de diversa normativa aplicable.
• Grave: se trata del impacto más pernicioso para la empresa, ligado a reproches penales de señalada entidad que puedan conllevar el cierre de la empresa, tanto temporal como definitivo.

• Escaso: en este nivel se englobarían todos aquellos riesgos inherentes que llevan aparejada una baja probabilidad de materialización que no superaría el nivel medio del mapa de riesgos.
• Notorio: se englobarían aquí los riesgos inherentes que se enmarcan en el campo transversal del mapa de riesgos de modo que supone que hay que prestar especial atención a su evolución.
• Grave: este último rango sería el más alto en la escala y englobaría aquellos escenarios de riesgo inherente con alta probabilidad de materialización que conlleven un alto nivel de impacto para la empresa.

A la hora de calificar el evento dañoso se debe adoptar índices consolidados que nos sirvan de referencia, pero se deben incluir todas aquellas consecuencias que se produzcan un perjuicio que en principio no es cuantificable. Con ello hacemos referencia al impacto reputacional que podría sufrir la empresa. En efecto, la calificación en uno u otro rango dependerá del nivel de exposición al que esté sometido la empresa, una pequeña empresa que no tenga presencia online, por ejemplo, no tendrá el mismo impacto mediático que otra que sí se maneje en el ámbito electrónico, aunque la consecuencia cuantificable sea menor.

Todo este procedimiento debe estar documentado en todo momento, con todos los pasos y las referencias de las valoraciones que se realicen. Es más, en atención al criterio de análisis mixto, lo idóneo sería que este documento se encuentre lo más personalizado posible. Con esto nos referimos a la idoneidad de combinar en un mismo organigrama o listado el conjunto de riesgos identificados en una primera fase junto con la probabilidad e impacto que llevan asociados —análisis de riesgo— y los detalles del departamento o individuos que puedan ser responsables de la materialización de dicho evento dañoso, junto con la fecha en la que se ha incluido en el listado. Este último punto goza de especial relevancia a efectos de las posteriores revisiones y actualizaciones que deberán realizarse sobre ese documento a efectos de mantener la imagen fiel de la entidad y una postura claramente proactiva sobre si el cumplimiento normativo.

Controles y evaluación de riesgos

Lo que se debe realizar en esta fase es una comparación entre los resultados que arroje el análisis de riesgos realizado con los criterios de asunción de riesgo que se dispongan para la empresa. A través de esta labor se determinará qué escenarios dañosos podrán ser asumidos por la empresa (riesgo residual), aplicando los controles para ello, y cuales en ningún caso pueden ser tolerables. 

Esto es relevante ya que son estos controles los que se van a encargar de atenuar y evitar la consecución del evento dañoso que se pretende evitar, aunque se convendrá que estas medidas preventivas no siempre tendrán éxito a efectos de evitar el evento dañoso, pues existen múltiples controles posibles a la actividad de la empresa. El tipo de control que debe realizarse dependerá de las necesidades y del objetivo perseguido por la empresa, pudiendo hablar de tres grandes grupos de controles:

• Controles preventivos.
• Controles correctivos o reactivos.
• Controles detectivos.

Están diseñados con el objetivo de eliminar las causas del riesgo o evento dañoso para prevenir que acabe materializándose. Estamos hablando de controles que se implantan en la que, en la empresa con anterioridad a una futura o potencial materialización del riesgo, por lo que no son idóneos para cualquier tipo de situación, sólo para aquellas que puedan ser tratadas con anterioridad a que se desencadene un fallo del sistema o un evento dañoso del procedimiento.

Existen numerosos controles de tipo preventivo, desde políticas y procedimientos generales, pasando por controles organizativos o de procesos, pero a efectos generales podemos mencionar algunos ejemplos concretos:

• Implantación de un software de seguridad de la información que impida accesos no autorizados al sistema.
• Formación del personal en políticas y procedimientos de seguridad que deben seguirse en la empresa.
• Control de procesos de trabajo, teniendo la posibilidad de monitorizar la actividad de cada usuario de la empresa y con ello comprobar cualquier anomalía o irregularidad cometida en su actividad.

b) Controles correctivos o reactivos

La diferencia sustancial con los anteriores es el momento para el que está diseñado el despliegue de sus efectos. Así en este caso será con efecto posterior a la materialización del riesgo cuando se aplicarán los controles correctivos. Estos controles están diseñados para evitar una propagación de impacto negativo en el seno de la empresa, aprovechando la materialización del riesgo para apuntalar la cultura de cumplimiento de la entidad.

Este tipo de controles pueden implantarse en la empresa partiendo de dos ópticas diferentes:

• Óptica disciplinaria.
• Óptica estimulante o de incentivos.

La elección de uno u otro dependerá del incumplimiento cometido y del tipo de estructura organizativa de la empresa. Lo más aconsejable es adoptar las medidas disciplinarias con carácter exclusivo a los incumplimientos detectados y adoptar incentivos para cualquier trabajador de la empresa que cumpla con el programa.

Con relación a las medidas disciplinarias, las mismas, deben adherirse a un código o normativa interna de la empresa que haya sido difundida, al objeto de concienciar al personal sobre la posibilidad de imputarle alguna de las sanciones previstas para el caso de incumplimiento. Esta labor de difusión y concienciación normalmente produce un efecto disuasorio que eleva la efectividad de cualquier plan de formación a su máximo exponente.

Por otro lado, en lo referente a la óptica estimulante, entre los incentivos que pueden implementarse pueden consistir en pluses o variables en el salario, devolver el impacto positivo que tiene la conducta del trabajador en la empresa a través de premios en especie o guiños morales a su conducta.

c) Controles detectivos

Estos controles tienen cierta identidad con los anteriores ya que también están diseñados para el manejo del evento dañoso una vez que se ha materializado el riesgo. La diferencia entre ellos tiene que ver con que las medidas detectivas despliegan sus efectos en un momento inmediatamente posterior al evento dañosos, de modo que sirven para corregir el evento dañoso desde el primer momento, no para revertir situaciones futuras dando ejemplo o imponiendo medidas disciplinarias.

Como principales ejemplos de medidas de control detectivo podemos mencionar: 

• Implantación de indicadores del acceso no autorizado por parte de un tercero. Esto supone la implantación de un software que tenga incorporado un sistema de alertas ante accesos no autorizados al sistema de información, ya sea por parte de un tercero ajeno a la empresa o de un usuario del sistema que no tenga permisos para acceder a dicha información.
• Planificación y ejecución de auditorías, las cuales pueden ser realizadas a nivel interno o externo. Lo aconsejable es que se realice a nivel externo, pues la óptica que se tiene de la entidad liberado de presiones internas arrojará un resultado mucho más fiable que la realizada por personal interno de la empresa. Esta actuación debe ser realizarse cada cierto tiempo siendo recomendable cada seis u ocho meses.
• Canal de denuncias o de otro tipo de quejas o reclamaciones de los clientes de la entidad. Estos medios permiten conocer las malas prácticas que se deriven de las actividades de la empresa. En este caso, mientras el canal de denuncias tiene una proyección únicamente interna, el canal de quejas y sugerencias tiene proyección externa, siendo los clientes y consumidores de servicios de la empresa los que pueden activar la alarma de incumplimiento.

En lo referente a la frecuencia de cada control es posible enfocarlos desde varias perspectivas temporales, resultando suficiente sintetizarlas en tres opciones:

• Constantes: cuando se enmarque de modo paralelo en cualquier proceso o actividad.
• Periódicos: cuando se realice de un modo programada cada cierto tiempo o cada cierto número de procesos o actividades realizadas dentro de la empresa.
• Ocasionales o residuales: cuando se realice de modo puntual en un proceso, sin que se trate de un control asiduo o común.

En la valoración de la efectividad de los controles se debe comprobar dos conceptos diferenciados, el diseño del control y su efectividad final. Esto es así porque en muchas ocasiones el control ha estado correctamente diseñado e implantado, pero no ha servido para evitar el evento dañoso o no ha reducido en lo más mínimo el impacto sobre la entidad. Del mismo modo, se puede implantar un control y el mismo desplegar todos sus efectos, pero si el diseño está incompleto no producirá todos los efectos inhibidores suficientes, por lo que la valoración final no puede resultar aprobada.

La valoración de la efectividad de los controles puede hacerse mediante una escala que integre los siguientes rangos, ordenados de menor a mayor efectividad:

• Mínima: el control se encuentra implantado, pero tiene defectos en el diseño que hacen muy difícil que despliegue algún efecto o, directamente, la inclusión en el mapa de riesgos es meramente formal y no se está aplicando de modo efectivo.
• Moderada: el control se encuentra implantado en la empresa, incluso el diseño es adecuado y susceptible de producir efectos inhibidores, pero la plena efectividad de la medida controladora depende de intervenciones humanas que dejan en entredicho la plena eficacia de este.
• Plena: el control se encuentra correctamente implantado y diseñado, por lo que despliega toda la eficacia prevista para inhibir el escenario dañoso asociado. Lo normal es que este tipo de valoraciones se den en aquellos controles que no dependen de intervenciones humanas, sino de un programa informático o sistema que automáticamente ejecute los controles. 

A continuación, un factor fundamental para arrojar una conclusión sobre los riesgos identificados en la empresa es el riesgo residual que arrojan tras los controles implantados. Únicamente se podrá conocer la evaluación final del riesgo cuando hayamos cuantificado el riesgo residual que se desprenda. El concepto que engloba la evaluación del riesgo se define como la comparación de los resultados que arroje el correspondiente análisis de riesgo en consonancia con el nivel de riesgo real que la organización puede asumir y está dispuesta a tolerar.

Esta última idea es precisamente la que define el riesgo residual como aquel que «sobra» una vez que hayamos calculado el impacto que tienen los controles aplicados. Para concretar en la práctica el riesgo residual, debemos acudir a la ecuación que relaciona el riesgo residual con el inherente y la vulnerabilidad que presente el mapa de riesgos concreto. Esto quiere decir que, para cuantificar el riesgo residual, se debe obtener una valoración referente a la probabilidad de que el riesgo inherente acabe materializándose, por un lado, y el valor asociado a la evaluación del riesgo obtenida, por el otro. De esta manera se obtendrá dos factores cuantificados que lógicamente arrojarán un producto final cuantificado, que será lo que se considere riesgo residual.

Obteniendo el valor del riesgo residual se tendrá el dato decisivo sobre qué hacer ante cada escenario dañoso que pueda darse en la empresa. De este modo, si se conoce el riesgo que no es posible controlar por la empresa podrá saberse si se asume el mismo dependiendo de la actividad a la que va asociado, si se puede prorrogar dicha actividad o si se debe suprimir con carácter inminente.

Tratamiento final del riesgo existente

La elaboración de un mapa de riesgos sirve para conocer las capacidades y vulnerabilidades de cualquier empresa, pero esto no significa que todas aquellas actividades en la que exista un riesgo residual deban dejar de realizarse o tomar medidas de control para evitar su materialización. Por esta razón es necesario hacer el tratamiento final del riesgo que exista en la empresa para lo que será preciso tener en cuenta tres nuevos conceptos: el apetito de riesgo, la tolerancia de riesgo y la capacidad de riesgo.

El apetito de riesgo puede definirse como la cantidad de riesgo que los miembros de la dirección de la empresa están dispuestos a asumir o soportar, teniendo en cuenta los objetivos empresariales y sus líneas de negocio. Evidentemente las empresas no pueden dedicarse únicamente a la prevención de todos los riesgos que lleven aparejadas, sino que hay otros factores, tales como la rentabilidad, ratios comparativos o análisis del mercado, a los que se debe atender para guiar la visión y dirección de la empresa y maximizar la búsqueda del valor añadido. Es por esta razón por la que, de modo inevitable, se deben asumir ciertas cuotas de riesgo de forma deliberada, organizada y consciente. Por otro lado, resulta igualmente evidente que no todas las empresas son iguales por lo que la asunción de las cuotas de riesgo indicadas puede variar según la naturaleza de la empresa o el contexto, lo cual supone su tolerancia al riesgo.

Cuestión distinta es la capacidad de riesgo, que hace referencia a los límites que las empresas se imponen para la búsqueda de sus objetivos, lo cual no significa que se trate de su apetito o del máximo de riesgo que están dispuestas a asumir. Esta idea tiene sentido para determinadas decisiones o actividades, en las que quizás temporalmente resulta más atractivo para la empresa el asumir menos riesgo del que cabe en su capacidad real para eliminar cuanta incertidumbre sea posible.

Centrándonos en la idea del apetito de riesgo que pueda presentar la empresa, no se trata de una limitación fija que se impone a lo largo de toda su actividad, sino que es variable y se va moldeando conforme avanza el devenir empresarial. Por ello es aconsejable llevar un seguimiento de la evolución de los riesgos cada cierto tiempo para actualizar y verificar que el mapa de riesgos sigue reflejando la realidad de la empresa en este ámbito.

Es importante tener en cuenta que en cualquier momento el riesgo residual puede superar el apetito de riesgo, lo que supondrá un indicador inequívoco para adecuar los controles a esta nueva realidad, mejorando los existentes o incorporando nuevos controles, paralizando la actividad que está generando dichos riesgos si fuese necesario. Esto es lo que se conocerá como el tratamiento final de los riesgos existentes, no porque se realice una única y última vez al terminar la confección del mapa de riesgos, sino porque es lo último que hay que realizar cada vez que se repase y se actualice el mencionado mapa, debiendo mantener el procedimiento documentado y actualizado en todo momento.

Para clasificar los posibles escenarios de apetito al riesgo se puede hablar de tres niveles, de menor a mayor tolerancia:

• Intolerable: el escenario que arrojaría la materialización del riesgo no se puede asumir bajo ninguna circunstancia.
• Tolerable: el escenario que dibuja la materialización del riesgo es delicado, pero se puede mitigar aplicando ciertas medidas.
• Aceptable: tal y como se plantea el riesgo, es posible aceptarlo.

• Procura la evitación del riesgo a través de la paralización de la actividad que lo está generando o, en su caso, la no iniciación de aquella que pueda generarlo o incrementarlo.
• Se debe aceptar, de modo estratégico, el riesgo asociado a la actividad —incluso aumentarlo— si se desprenden objetivos de aprovechamiento de una situación competitiva u otro tipo de oportunidad que ofrezca un crecimiento de la empresa.
• Eliminación de la fuente de riesgo.
• Modificación de la probabilidad asociada al riesgo inherente inicialmente identificado junto con las consecuencias derivadas.
• Se puede compartir el riesgo con otras actividades o escenarios que inicialmente no habían sido contemplados para el mismo. Esto podría realizarse ampliando o modificando contratos que tenga suscritos la entidad con terceras personas, por ejemplo.
• Se puede mantener el riesgo en un mismo nivel durante un tiempo prolongado, siempre que se cuente con una decisión de la dirección de la empresa avalada documentalmente por la consecución de determinados objetivos estratégicos.

Por todo lo expuesto, el esquema para la elaboración del mapa de riesgos sería el siguiente: