Cada organización debe cumplir con las leyes de los países en los que opera, los requisitos legales y regulatorios varían entre diferentes regiones, lo que aumenta la necesidad de tener comprensión y confianza en lagestión de riesgosprocesos en marcha. Las organizaciones enfrentan una incertidumbre considerable al tomar decisiones y acciones que pueden tener consecuencias importantes en el cumplimiento. La gestión de riesgos de cumplimiento ayuda a las organizaciones a proteger y aumentar su valor.

Esta serie de publicaciones proporcionará orientación sobre las actividades que deben emprenderse para apoyar decisión Tomadores de decisiones para evaluar y tratar los riesgos de cumplimiento de forma eficiente y rentable para satisfacer las expectativas de una amplia gama de partes interesadas. El incumplimiento de los requisitos legales y las expectativas de las partes interesadas puede tener consecuencias negativas considerables e inmediatas que podrían afectar el rendimiento, la reputación y llevar a la persecución penal de la alta dirección.

El riesgo de cumplimiento dentro de esta serie de publicaciones se define de manera amplia y no se limita, por ejemplo, a riesgos relacionados con el cumplimiento o asuntos contractuales, incluidos los riesgos provenientes de o hacia terceros donde puede no existir una relación contractual, pero donde puede haber una posibilidad de litigio u otra acción dependiendo de los requisitos contractuales de esos terceros con sus partes interesadas.

Esta metodología se desarrolla de acuerdo con los requisitos de la ISO 31022:2020Gestión de riesgos— Directrices para la gestión del riesgo legal y el cumplimientoGestión de RiesgosAplicando el Marco COSO ERM. Es broma, está a años luz de distancia de las tonterías escritas en el cumplimiento.Gestión de RiesgosAplicando el Marco COSO ERM.Vea mi revisión página por página para entender por qué nunca debes aplicar COSO a los riesgos de cumplimiento.

Pregunta a RAW@AI sobre esta publicación o simplemente habla sobre la gestión de riesgos

Para los fines de este artículo, cumplimientogestión de riesgosincluye

• Identificación y registro oportuno de riesgos de cumplimiento
• Evaluación de riesgosy priorización del riesgo de cumplimiento para un análisis posterior
• Análisis de riesgos detallado para los riesgos de cumplimiento más significativos e identificación de medidas adecuadas de mitigación de riesgos
• Monitoreo e informes.

Identificación de riesgos

El propósito de identificar riesgos de cumplimiento es encontrar, reconocer y describir los riesgos que pueden ayudar o impedir que una organización logre o deje de lograr sus objetivos.

Para tener una comprensión integral de los riesgos de cumplimiento, las organizaciones pueden hacer lo siguiente:

• Revisa las leyes y regulaciones relevantes en todos los países de operación.
• Revisar las reclamaciones y las estadísticas de incidentes registradas en toda la organización.
• Revisar las reclamaciones en comparación con los pares de la industria y otras organizaciones relevantes en los países de operación.
• Consulte con los asesores legales y de cumplimiento relevantes y con los proveedores de servicios.
• Revise la información y las directrices de los reguladores y autoridades gubernamentales.

Los riesgos de cumplimiento identificados deben ser mapeados contra las entidades legales para asegurarse de que no se pasen por alto riesgos significativos

Actividades licenciadas y uso del subsuelo

Gestión ambiental (ecología)

Cumplimiento de sanciones

Cumplimiento antimonopolio

Cumplimiento fiscal

Supervisión contra incendios, protección de emergencia

Trabajo y seguridad industrial

Cumplimiento del pacto

Seguridad económica e informativa, secreto de estado

Relaciones de tierra y propiedad

Construcción y reconstrucción de instalaciones peligrosas

Seguridad física de las instalaciones de producción y vehículos

Grupo de empresas

Entidad legal 1

incógnita

incógnita

incógnita

incógnita

Entidad legal 2

incógnita

incógnita

incógnita

incógnita

incógnita

incógnita

incógnita

incógnita

Entidad legal 3

incógnita

incógnita

incógnita

incógnita

incógnita

Los riesgos de cumplimiento pueden ser documentados en un manual o en un registro de riesgos en línea para un análisis adicional.

Análisis de Riesgos

Siempre que sea posible, las empresas deben aplicar análisis de riesgos cuantitativos para medir y priorizar los riesgos de cumplimiento. ¿Espera qué? ¿Podemos hacerlo mejor que un mapa de calor de cumplimiento? Aparentemente :))

La siguiente información debe ser recopilada y registrada para cada riesgo identificado

• Escenarios de consecuencias posibles según lo descrito en la legislación u otros requisitos regulatorios (generalmente incluyen multas, 3^rdreclamaciones de la parte, procesamiento penal, cierre temporal de la producción, sanciones y demás
• Rango de valores posibles para cada escenario de consecuencia (por ejemplo, según la legislación, las multas pueden variar de 100 mil a 1 millón, el cierre de la producción puede ser por un período entre 0 y 90 días, etc.)
• La relación lógica entre cada escenario de consecuencia (por ejemplo, las multas altas son mucho más probables una vez que ya se han recibido multas pequeñas o para algunos riesgos podría ser lo contrario, si no se han emitido multas pequeñas en los últimos 2+ años esto podría significar que la multa grande es inminente y así sucesivamente)
• Datos históricos de incidentes y reclamaciones, casos judiciales conocidos u otra información relevante.
• Propietario del riesgo y partes interesadas clave.
• Controles actuales y evaluación de su efectividad, si están disponibles.

Paso 1. Representa cada riesgo como un diagrama de corbata de moño

Cada riesgo puede representarse gráficamente como un diagrama de lazo. Un pajarita es una representación gráfica de los caminos desde las causas de un evento o riesgo hasta sus consecuencias en un diagrama simple de causa y efecto. Es una combinación simplificada de un árbol de fallos que analiza la causa de un evento o riesgo, en el lado izquierdo del diagrama, y un árbol de eventos que analiza las consecuencias, en el lado derecho.Tomé prestados algunos diagramas y palabras genéricas de un artículo maravilloso de Broadleafhttps://broadleaf.com.au/resource-material/bow-tie-analysis/

El enfoque del análisis de la pajarita se centra en las barreras o controles representados en el lado izquierdo del nudo que pueden cambiar la probabilidad del evento o circunstancia, o en los del lado derecho que pueden modificar sus consecuencias. Se utiliza al evaluar la integridad de los controles, para verificar que cada camino desde la causa hasta el evento y del evento hasta la consecuencia tenga controles efectivos, y que los factores que podrían causar fallos en los controles (incluidos fallos en los sistemas de gestión) sean reconocidos.

• Los controles más efectivos generalmente abordan las causas, generalmente para detener su aparición o que conduzcan al riesgo (controles preventivos). Deben coincidir las causas, en extensión y naturaleza.
• A la derecha del pajarita, los controles deben proporcionar respuestas apropiadas a las consecuencias que se sienten o crear barreras para que las consecuencias se desarrollen. Podrían influir directamente en las consecuencias sobre los objetivos comerciales (controles correctivos o reactivos), o detectar cambios rápidamente y proporcionar desencadenantes para planes de contingencia (controles de detección).

Cualquier riesgo de cumplimiento se puede representar como un diagrama de corbata al seguir estos pasos

1. Seleccione el riesgo a ser examinado en el análisis de la corbata de moño.
2. Describe el riesgo, en la forma [algo sucede] y conduce a [una consecuencia para nuestros objetivos], y anote los principales resultados del análisis de riesgos del registro de riesgos.
3. Enumere las causas del riesgo a la izquierda y las consecuencias del riesgo a la derecha, utilizando la información de las regulaciones así como la consulta con los responsables del riesgo y expertos en la materia.
4. Enumere los controles existentes sobre las causas (controles preventivos) debajo de las causas a la izquierda, y los controles sobre las consecuencias (controles correctivos) debajo de las consecuencias a la derecha. Si un control actúa tanto sobre las causas como sobre las consecuencias, entonces muéstralo dos veces, a cada lado de la plantilla.
5. Identificar opciones para mejorar los controles existentes, para aumentar su efectividad o para cubrir brechas. Esto puede incluir una supervisión mejorada y revisiones más frecuentes, por ejemplo, mediante autoevaluaciones de control.

Paso 2. Identificar causas y escenarios de consecuencias

Las causas y consecuencias para el diagrama de la corbata se derivan normalmente de las regulaciones, así como de la consulta con los responsables del riesgo y expertos en la materia.

Escenarios comunes de consecuencias para riesgos de cumplimiento (solo un ejemplo rápido, hay más) incluyen:

Área de riesgo	Ejemplos de escenarios de consecuencias
Actividades licenciadas y uso del subsuelo	La necesidad de volver a obtener una licencia Redención de derechos de otros propietarios del objeto Multas por operar sin la licencia
Gestión ambiental (ecología)	Multas administrativas 3rdreclamos de la parte Parada o detención de producción Persecución penal o inhabilitación de la gestión
Cumplimiento de sanciones	Multas como proporción de los ingresos Restricciones en mercados existentes o potenciales Restricciones en los mercados de capital y capacidad para refinanciar préstamos existentes Restricciones sobre el uso de tecnología o equipo extranjero Perder el control sobre activos en el extranjero
Cumplimiento antimonopolio	Multas de hasta el 2% de los ingresos
Cumplimiento fiscal	Multas administrativas Impuestos adicionales a pagar
Supervisión contra incendios, protección de emergencia	Multas administrativas 3rdreclamos de la parte Parada o detención de producción Persecución penal o inhabilitación de la gestión
Trabajo y seguridad industrial	Multas administrativas 3rdreclamos de la parte Parada o detención de producción Persecución penal o inhabilitación de la gestión
Cumplimiento del pacto	Reembolso de préstamos existentes Aumento en los costos de financiamiento Dificultad para refinanciar
Seguridad económica e informativa, secreto de estado	Multas administrativas Persecución penal o inhabilitación de la gestión
Relaciones de tierra y propiedad	Multas administrativas 3rdreclamos de la parte Parada o detención de producción Persecución penal o inhabilitación de la gestión
Construcción y reconstrucción de instalaciones peligrosas	Multas administrativas 3rdreclamos de la parte Parada o detención de producción Persecución penal o inhabilitación de la gestión
Seguridad física de las instalaciones de producción y vehículos	Multas administrativas Persecución penal o inhabilitación de la gestión

A continuación se presenta un ejemplo de un lazo para un riesgo de cumplimiento típico

Donde, V – significa que varios eventos pueden ocurrir al mismo tiempo, y XOR significa la variabilidad de uno u otro evento. Por ejemplo, las multas pueden ser por tres días de contaminación del agua (pequeña), o por un año (moderada) o tres años (grande), y la persecución penal y la terminación del negocio pueden ocurrir simultáneamente.

Paso 3. Determina el rango de consecuencias para cada escenario

Para evaluar cuantitativamente los riesgos de cumplimiento, el siguiente paso consiste en definir el rango posible de valores para cada escenario de consecuencia. Las consecuencias típicas pueden involucrar los siguientes factores

Escenario de consecuencias	Rango de consecuencias
A.Multa pequeña por violación, por ejemplo, una multa por tres días de contaminación del agua.	Análisis de la legislación en términos de violación de lacalidaddel desagüe Análisis de la estructura del sistema de drenaje de la entidad Análisis de la volatilidad de los indicadores de descarga para inspecciones de supervisión e internas del aguacalidad. Estadísticas de decisiones judiciales (sanciones) en casos similares
B.Multa moderada calculada acumulativamente para el año utilizando la extrapolación de los resultados de la auditoría de supervisión
C.Multa grande calculada de manera acumulativa durante los tres años utilizando la extrapolación de los resultados de auditoría de supervisión
D.Suspensión de negocios	Estadísticas de suspensiones de negocios ajustadas para nuestra empresa Calcule el costo del tiempo de inactividad de una planta por día multiplicado por el rango de días
E.Enjuiciamiento penal de la dirección de la empresa	Evaluación legal experta del costo de la defensa legal y las posibles pérdidas reputacionales debido a procesos penales o la descalificación de la dirección.

Dependiendo de la disponibilidad y fiabilidad de los datos, se pueden utilizar varias distribuciones de severidad (solo ejemplos, relájate, podrían ser otras):

• Distribución lognormal: donde el rango de consecuencias no está limitado y existe una pequeña probabilidad de pérdidas catastróficas.
• Distribución PERT – para simular consecuencias basadas en opiniones de expertos donde los datos históricos pueden no estar disponibles o el rango de consecuencias está limitado por regulación.
• Distribución discreta – para simular un número selecto de escenarios bien definidos.
• Distribuciones ajustadas: siempre que haya datos históricos disponibles, se puede utilizar para ajustar una distribución adecuada para el perfil de pérdida específico.

Para cada escenario de consecuencia se selecciona una distribución y se determina el rango de valores posibles, por ejemplo, pérdida mínima, pérdida esperada y pérdida máxima.

Paso 4. Asigna pesos a cada escenario

Para determinar la ponderación asignada a cada escenario de consecuencia de eventos desencadenados por riesgo de cumplimiento, se pueden utilizar datos históricos, modelado, así como opiniones de expertos, ya sea individualmente o en combinación.

El peso de cada escenario puede involucrar los siguientes factores

• el alcance de las leyes, junto con las prácticas de cumplimiento y convenciones de las autoridades regulatorias pertinentes;
• la mejora de, y el cumplimiento de, el marco existente para la gestión del riesgo legal, incluyendo estrategias, gobernanza, reglas internas y políticas;
• cumplimiento demostrado de empleados y contratistas con las leyes, y las reglas y políticas de la organización;
• la frecuencia y el número de actividades relacionadas con el riesgo legal que ocurren dentro de un período determinado;
• falta de registrar, analizar y aprender de eventos anteriores;
• comparación de la frecuencia y el número de actividades relacionadas con el riesgo legal que ocurren en un período determinado con otras organizaciones.

Siempre que sea posible, se recopilan datos históricos de cada uno de los escenarios de consecuencias. Cuando no hay datos históricos disponibles o no se han presentado reclamaciones contra la empresa en el pasado, utilizamos estadísticas bayesianas para estimar los pesos para el escenario. Dependiendo de la disponibilidad y fiabilidad de los datos, se pueden utilizar diversas distribuciones para estimar el peso de cada uno de los escenarios de consecuencias

• Distribución de Bernoulli o distribución discreta: cuando hay datos históricos limitados y se necesita estimar la probabilidad de una o múltiples consecuencias.
• Distribución de Poisson: donde contamos con datos históricos para estimar la frecuencia de cada uno de los escenarios de consecuencia.

Los controles actuales, su efectividad y otros factores que afectan la probabilidad de reclamaciones contra la empresa deben ser considerados al asignar pesos a cada uno de los escenarios.

Paso 5. Mide el efecto de los riesgos en las decisiones

Para tener en cuenta la incertidumbre tanto en las consecuencias de cada escenario como en su peso, las distribuciones de consecuencias se multiplican por las distribuciones de peso utilizando el método de simulación de Monte Carlo. Normalmente, 10,000 ejecuciones de simulación deberían ser suficientes para la mayoría de los riesgos de cumplimiento, sin embargo, pueden ser necesarias más ejecuciones de simulación para eventos altamente improbables y catastróficos.

La salida del análisis de riesgos puede representarse como una distribución o un diagrama de caja como se muestra a continuación

La distribución de los posibles resultados muestra

• Escenario razonablemente optimista (generalmente con consecuencias financieras mínimas o nulas)
• Escenario esperado (50^th percentil
• Escenario pesimista razonable (consecuencias financieras que no superarían el 95% del tiempo, con una probabilidad del 5% de que el impacto sea aún mayor).

Una parte integral del análisis de riesgos es un diagrama de tornado que muestra cuál de los escenarios de consecuencia está teniendo el mayor efecto en el nivel general de exposición al riesgo. A continuación se muestra un ejemplo

En la situación en la que se considere que la exposición al riesgo es significativa, es necesario discutir y acordar las medidas de mitigación del riesgo.

A menudo puede ser insuficiente limitarse a estimar la exposición al riesgo de cumplimiento; en su lugar, puede ser necesario medir cómo los riesgos de cumplimiento afectarían a una inversión. decisión, un objetivo de rendimiento o un plan de negocio o un presupuesto. En tales casos puede ser necesario estimar cómo los riesgos de cumplimiento afectan al VPN del proyecto u otros. decisión creación de métricas o cómo los riesgos de cumplimiento cambian la probabilidad de terminar con éxito el proyecto a tiempo y dentro del presupuesto.

Mitigación de riesgos y compensación

El tratamiento de los riesgos de cumplimiento se refiere a las estrategias correspondientes implementadas por una organización para lidiar con sus riesgos. Un plan de tratamiento de riesgos debe considerar una variedad de opciones de tratamiento, que pueden incluir remedios legales así como remedios financieros, operativos y de reputación para cada riesgo priorizado.

Los siguientes factores deben ser considerados al elegir una opción adecuada para el tratamiento de los riesgos de cumplimiento

• el organizacionalgestión de riesgospolítica, objetivos estratégicos, valores fundamentales y responsabilidad legal de la organización;
• un análisis de costo-beneficio de responder al riesgo de cumplimiento;
• la percepción de las partes interesadas y sus valores, actitud ante el riesgo y niveles de tolerancia, así como sus preferencias sobre ciertas estrategias de tratamiento del riesgo de cumplimiento;
• la disponibilidad y asignación de los recursos necesarios para gestionar el riesgo;
• una revisión legal (incluyendo alcance y profundidad) de leyes, compromisos contractuales y limitación de riesgos contractualmente;
• opiniones legales
• el grado en que el riesgo de cumplimiento puede ser transferido, delegado o asegurado según la ley;
• el nivel de conciencia de riesgo y el nivel de madurez dentro de la organización.

Se pueden probar diferentes estrategias de mitigación y tratamiento para determinar qué opción ofrece la mejor relación entre reducción de riesgos y costo involucrado. Diferentes estrategias de mitigación pueden ser representadas gráficamente como en el diagrama a continuación

Informe y monitoreo

La supervisión y revisión de la gestión de los riesgos de cumplimiento incluye lo siguiente

• mantenerse al tanto de los cambios en el entorno, como la introducción de nuevas leyes y la aplicación de dichas leyes, para ajustar la estrategia de la organización en consecuencia;
• monitoreo de eventos desencadenados por riesgo de cumplimiento, análisis de su frecuencia y patrones, y extracción de conclusiones de los mismos (incluyendo la posible correlación y amplificación de otros riesgos);
• considerando un sistema de alerta temprana con las partes interesadas clave para identificar señales de advertencia de riesgos de cumplimiento significativos que podrían surgir;
• monitoreo y revisión
  • resultados tras el tratamiento del riesgo;
  • cambios en el medio ambiente;
  • la elaboración de planes integrados de gestión de riesgos;
  • la designación de las partes responsables y rendidoras de cuentas;
• comparando el progreso con el plan de tratamiento de riesgos, revisando y actualizando periódicamente y de manera oportuna el plan de tratamiento de riesgos para buscar garantías sobre su adecuación, idoneidad y eficacia en relación con la gestión del riesgo de cumplimiento.

Una organización debe considerar los siguientes temas en relación con la gestión de registros y la elaboración de informes

• privilegio profesional legal, privilegio abogado-cliente y producto del trabajo (o sus conceptos y términos equivalentes bajo la ley nacional correspondiente);
• políticas de destrucción, retención y privacidad, de acuerdo con las leyes de protección de datos;
• la disponibilidad y accesibilidad de la documentación para que las partes interesadas mejoren decisión-conservación de registros y para fines de auditoría interna o externa.
• si la documentación relevante necesita ser mantenida de manera segura, con un proceso de cadena de evidencia que documente que no se han realizado alteraciones en los documentos, información o evidencia;
• medidas de confidencialidad y seguridad en relación con la documentación de carácter confidencial, como la configuración de acceso limitado y autorizado a dicha documentación.

Una organización debe informar sobre el progreso de los cambios en la implementación de la gestión de riesgos de cumplimiento y la adhesión a las medidas.