¿Crees que se te está escapando de las manos algo en tus labores de RC? ¿No sabes cómo identificar e implantar controles de mitigación? Creemos que hacerlo es un punto clave en el recorrido de un cumplimiento integral en las empresas. Por eso, hoy queremos compartir contigo la importancia de implantar controles de mitigación de riesgos en tu empresa.
Si formas parte del cumplimiento, estas claves no pueden pasar desapercibidas en tus tareas. ¿Quieres acompañarnos?
Cuando hablamos de mitigación nos referimos a las acciones utilizadas para definir aquellas políticas capaces de activarse para minimizar o eliminar un riesgo (entendemos por riesgo aquel que nos pueda originar un perjuicio penal, económico o reputacional).
Todos estos controles nos proporcionarán un porcentaje teórico de mitigación, con el que calcularemos el consabido riesgo residual. Pero ¿cómo tenemos la certeza de que estos controles, y sus medidas asociadas, funcionan correctamente? ¿Las evaluamos para saber si están entre los márgenes adecuados? Cuando no sea así, ¿calculamos el factor de corrección a la baja de la mitigación? Y, como conclusión, ¿obtenemos el Riesgo Residual Objetivo (que es el riesgo residual corregido)? Y reaccionamos si sus valores no concuerdan con el “apetito de riesgo de nuestra empresa”.
¿Cómo mides la eficacia de las medidas de control? ¿Sabías que puede realizarse automáticamente?
En un contexto multiempresa y multinorma, en el que se realizan las laboras de supervisión del cumplimiento de forma centralizada, o coordinada desde un área corporativa, el éxito para realizar una evaluación continua del cumplimiento radica en establecer un sistema colaborativo en la organización (incluso se puede extender a socios y proveedores), donde se entienda claramente que en el cumplimiento debemos participar todos. Cada uno en su parcela de responsabilidad. Si conseguimos convencer a la organización de esto, y ojo, creo que es lo más difícil, el dar el paso a su implementación con una herramienta como Motor de Cumplimiento es ya un paso muy sencillo.
Una vez modelado el esquema de control de cumplimiento que queremos implementar, una de las tareas más delicadas es identificar las áreas y responsables que nos tienen que aportar la información que necesitemos. Los datos que obtiene de esta forma cumplimiento no son de cumplimiento, no son su responsabilidad, es de sus propietarios. Y por eso no nos debería valer con recibir un dato por teléfono, donde siempre nos pueden abrir el melón “de entendiste más el dato o yo no os lo di”. ¿Tenemos evidencias en contra?
Así pues, un sistema que capturara los datos directamente de las fuentes, sí nos aportaría esa certeza y trazabilidad que nos proporciona la fiabilidad y credibilidad ante terceros que nuestras conclusiones y acciones requieren.
¿Qué necesitas para apostar por un sistema de control de cumplimiento eficaz?
Solo cuatro condiciones:
El RC nació para dar respuesta a la pregunta ‘¿cómo realizar el cumplimiento legal? Su aportación es necesaria en la era de la globalización, donde se ha complicado el mundo regulatorio y donde no paran de brotar nuevos riesgos.
Por ello, una adecuada gestión de riesgos puede ser el mayor éxito para las grandes empresas, y los RCs tienen mucho que ver con esto. Su capacidad para tomar decisiones, su autonomía, sus habilidades de filtro para la prevención de riesgos, su responsabilidad de información sobre los posibles incumplimientos… Todo forma parte de su ADN.
Los riesgos de las empresas pueden ser muchos y todos son importantes. Cuanto más localizados y acotados sean, mejor podrán evitarse. Y la mejor forma de estar seguros de que lo hacemos bien es evaluando la eficacia de las medidas implantadas.
El mundo, en general, y las empresas, en particular, están cada vez más sujetas a las estrictas leyes por las que se rigen. Sirvan de ejemplo la lucha contra la criminalidad y el Reglamento General de Protección de Datos (RGPD).
El objetivo de las empresas en este sentido es controlar cualquier norma, sus riesgos asociados, y estos en base a la medición y evaluación de sus controles, que determinarán si las medidas implementadas de minimización o eliminación de riesgos funcionan adecuadamente
Resumiendo, sí es relevante saber qué, quién y cuándo. propios de la trazabilidad. El RC también debe tener en cuenta la vigencia permanente. Es decir, el mantenimiento automático de la vigencia de datos y documentos. El control, además, debe ser autoalimentado, pues debe recoger y almacenar datos y evidencias documentales aportados por personas u otros sistemas.
En definitiva, hablamos de un sistema basado en Plan, Do, Check, Act (PDCA) que hace posible la mejora continua del cumplimiento.
Realizar un buen control de cumplimiento es una tarea fundamental para garantizar el éxito de las grandes compañías. Cada año se modifican leyes y reglamentos que desencadenan cambios en las estructuras normativas de las empresas. Por eso, el RC debe contar con un sistema eficaz para adaptarse a ello rápidamente.
Implementar procesos para auditoría, monitorear a proveedores externos, el cumplimiento en base a la tecnología, el cumplimiento ameno y el análisis de los principales retos y desafíos deben ir en línea con las tareas del RC.