El mapa de riesgos es una herramienta de gran utilidad en Corporate Compliance. Teniendo en cuenta la norma ISO 37301, este instrumento se podría encuadrar en el apartado de “planificación” del Sistema de Gestión de Compliance. Y es que, el mapa de riesgos en Compliance permite recopilar, de una manera simple y visual, todos los elementos que nos resultan necesarios para analizar los riesgos de Cumplimiento y, a la vista de ello, poder establecer un plan de acción efectivo.

Si bien, la elaboración de un mapa de riesgos no es sencilla, puesto que requiere recopilar mucha información. Es importante ser rigurosos en su diseño, puesto que de lo contrario se corre el riesgo de que sea una bonita presentación que no tenga utilidad real.

Pasos para crear el mapa de riesgos en Compliance

A la hora de generar un mapa o matriz de riesgos en el área de Compliance de una organización o una entidad financiera, es importante tener en cuenta los siguientes factores:

1. Crear un inventario de riesgos de Cumplimiento

El primer paso es sin duda conocer todos los riesgos que afectan a la organización en materia de Compliance. Es decir, para poder empezar a trabajar en una gestión de riesgos de Compliance, lo primero que tenemos que hacer es conocer cuáles son esos riesgos y crear una lista con ellos.

2. Asignar un responsable para cada riesgo

El riesgo de incumplimiento de leyes, normativas o códigos de conducta se puede asociar directamente a áreas de actividad o negocio. De esta forma, el responsable de cada área será a su vez el encargado de adoptar o vigilar que se cumplen las acciones para evitar riesgos. La idea, por tanto, es que cada tipo de riesgo tenga un encargado de gestionarlo.

3. Medir la probabilidad de ocurrencia de un incumplimiento

Uno de los pasos más importantes para crear un mapa de riesgos en Compliance o Cumplimiento Corporativo es medir la probabilidad de que se produzca un incumplimiento. Es decir, que el riesgo se materialice, dando lugar a un evento negativo. Para ello, se debe recabar la suficiente información para estimar esta probabilidad. En el mapa de riesgo, esta probabilidad se puede indicar, por ejemplo, como “poco probable”, “muy probable” o “altamente probable”. En función de cada caso, se adoptarán unas acciones u otras.

4. Calcular el impacto del riesgo de incumplimiento

Una vez conocida la probabilidad con que estimamos podría producirse un evento negativo, trataremos de estimar el impacto que tendría sobre la organización. En términos estadísticos, se puede utilizar la fórmula “riesgo = Probabilidad x Impacto”.  

Por lo general, en el mapa de riesgos, la probabilidad de incumplimiento se sitúa en el eje vertical y el impacto de dicho incumplimiento en el eje horizontal.

5. Definir un grado de tolerancia al riesgo

Una vez definidos los riesgos a los que nos enfrentamos, la probabilidad de que se materialicen, y el impacto que tendría en la organización, el último factor a tener en cuenta es el grado de tolerancia que se tiene a cada riesgo.  Esto se conoce como el “apetito de riesgo” y hace referencia al nivel de riesgo que está dispuesta a asumir cada organización. Suele ser la alta dirección la que estime qué riesgos se podrían asumir y cuáles necesitar un plan de acción que cuente con mayores recursos.

Ejemplo de mapa de riesgo en Compliance

La información recopilada en los pasos anteriores se plasma en una representación gráfica como veremos a continuación.  Si bien, lo verdaderamente importante es el análisis que se lleva a cabo como base de dichos mapas de riesgos.

Máster en Compliance de EALDE Business School

Los mapas de riesgos en Cumplimiento Corporativo son abordados en profundidad en el Máster en Compliance de EALDE Business School. Se trata de un máster online, que ayuda a mejorar las organizaciones de los alumnos que lo cursan. El programa cuenta con becas propias y ayudas al estudio.

Puedes solicitar más información sobre el Máster en Compliance: Fraude y Blanqueo en el siguiente apartado:

Amplía información sobre matrices de riesgo en este vídeo: