2.1.4 Mapas de Riesgo
Una adecuada ponderación de los riesgos es parte de los análisis realizados por los inversionistas al momento de invertir. Cuando definen su inversión, aquellas compañías reconocidas en el mercado por su gestión de riesgos, como, asimismo, aquellas que han generado una reputación de transparencia en su manejo de crisis, se ven beneficiadas por una alta valoración del mercado (Tricker, 2009).
Dentro de las herramientas idóneas para realizar esta ponderación destaca un mapa de riesgos, que corresponde a la expresión gráfica de la identificación y valorización de los potenciales siniestros que son inherentes al desarrollo de una determinada actividad económica.
Asimismo, una vez identificados los riesgos potenciales y su probabilidad de ocurrencia, como lo propone Lipman, las organizaciones debieran utilizar en forma periódica la asesoría de un abogado, que realice una revisión de los procedimientos de cada uno de los departamentos de la compañía para determinar las buenas prácticas existentes (Lipman & Lipman, 2006). Esta forma de trabajo permite, a través de un proceso de mejora continua ir no sólo delimitando los riesgos de la empresa, sino que verificando el cumplimiento de los procedimientos de mitigación previamente establecidos por la compañía a través de su departamento de compliance.
En palabras de Tricker: «La introducción de un programa de evaluación de riesgos no solo permite que las empresas los reconozcan y desarrollen políticas de gestión de riesgos adecuadas, sino que también respalda las actividades comerciales continuas, al permitir que el personal reconozca dichos riesgos y los evite. Asimismo, posibilita a los directores apreciar la naturaleza y el alcance de sus riesgos, el perfil de los mismos, y, por tanto, efectuar juicios apropiados. Finalmente, garantiza a la empresa la oportunidad de informar con confianza a los accionistas y otras partes interesadas que los riesgos corporativos están siendo bien gestionados» (Tricker, 2009, pp. 339-340). Aunque para la administración tradicional reconocer públicamente los riesgos de la empresa puede parecer una decisión estratégicamente desafortunada, en territorios más avanzados en gestión corporativa la reacción del mercado es la opuesta. Una adecuada gestión de riesgos genera información valiosa para la toma de decisiones de la organización permitiendo reaccionar oportunamente a las crisis.
Dentro de la creación de la matriz de riesgos de la compañía es de suyo relevante tener claridad previa respecto de cuáles son los cuerpos normativos que serán abordados por la o las matrices a crear, ya que solo teniendo una visión amplia e integral de los riesgos enfrentados por la empresa, será posible determinar cuál posición será la más adecuada para dicha organización respecto de cada riesgo identificado en la matriz.
El trabajo periódico a través de revisiones a los procedimientos aplicados por los departamentos de la organización permite identificar áreas riesgosas, posibilitando que los administradores de la organización y el directorio de la empresa puedan tomar mejores decisiones (Lipman & Lipman, 2006, p. 33).
Pero la labor de la administración no se limita a la identificación de los riesgos y a su ponderación en una matriz, ya que su gestión deberá ser aplicada en el día a día de la organización mediante el diseño, implementación y evaluación de políticas y procedimientos sistemáticos que orienten las actuaciones de los miembros de la organización, generando una cultura organizacional de mejora continua.
Para Singh y Bussen: «Las organizaciones deben entonces desarrollar estándares y procedimientos para responder a esos riesgos, así como puntos de presión específicos. Los resultados de la delegación de tareas de evaluación de riesgos apuntan a una fuerza de trabajo. Las organizaciones también deben trabajar para fomentar una cultura de compliance y ética, que se base en los niveles generales de riesgo» (Singh & Bussen, 2015, p. 46).
El diseño del mapa de riesgos considerará tanto las actividades internas como externas de la empresa, según Carrau: «Serían actividades externas todas aquellas relacionadas con los inputs que recibe una persona jurídica y los outputs que transmite, incluyendo los procesos de elaboración: compras, ventas, fabricación, embalaje, transporte, prestación de servicios, residuos, etc. Serían actividades internas aquellas propias de la organización, intrínseca de la persona jurídica: seguridad en el trabajo, relaciones laborales, gestión de datos de carácter personal, mantenimiento de stocks, obligaciones administrativas y tributarias, seguros, etc. (Carrau Criado, 2016)».
Cada una de estas actividades se identifica con grupos de interés de compliance, debido a que serán diversos actores los beneficiarios del cumplimiento demostrado por la organización. Así, como actores internos surgen accionistas y trabajadores. Y, por grupos de interés externos se reconocen consumidores, proveedores, comunidad, competidores y el Estado.
Con todo, los orígenes de los riesgos son múltiples, siendo clasificados para una mejor sistematización por el foro de economía mundial, en razón de su relevancia, de la siguiente manera: «1. El ambiente de negocios. 2. Conflictos competitivos. 3. Materias de compliance. 4. Problemas de los empleados. 5. Factores operacionales. 6. Pérdida reputacional. 7. Fraude y seguridad. 8. Fallos estructurales. 9. Cambios tecnológicos. 10. Crédito comercial e insolvencia de los clientes» (Tricker, 2009, p. 331).
Asimismo, toda la labor de elaboración del mapa de riesgos organizacional no concluye en la enumeración de los riesgos identificados, sino que también se: «Debe identificar sobre el mapa de actividades los concretos riesgos que se producen en ellas, determinando también los sujetos intervinientes en las decisiones y actos que están afectados por el riesgo» (Carrau Criado, 2016).
Una vez que los riesgos han sido aislados, identificando los sujetos o departamentos que participan en ellos, resulta conveniente identificar aquellos procesos críticos para la organización, ya que realizar esta labor, permitirá priorizar el orden de las tareas a intervenir.
Se recomienda un enfoque de procesos en esta etapa ya que la lógica para su construcción es transversal a su organización, obligando al oficial de cumplimiento a lograr un conocimiento cabal y sistémico de las actividades desplegadas por la empresa.
Esta experiencia genera varias consecuencias beneficiosas. En primer lugar, permite al oficial de cumplimiento pasar de un conocimiento teórico de la actividad de la organización, a un conocimiento práctico. En segundo lugar, mejora la credibilidad del oficial de cumplimiento ante las áreas operativas no gerenciales, ya que al participar en terreno se manifiesta empatía con los colaboradores. En tercer lugar, mejora el análisis de la matriz de riesgo. Y, finalmente, genera una habilidad de ponderación del negocio en el oficial de cumplimiento que permitirá resolver en forma coherente con la realidad los requerimientos que surjan a través del canal de comunicación de la empresa, permitiendo mantener una visión preventiva, pero con un criterio de realidad.
Posteriormente, al conocer de cerca el proceso de gestación de los bienes o prestación del servicio, el diseñador del sistema de compliance deberá elaborar y proponer planes de contingencia para el caso de ocurrencia de las amenazas detectadas. En estos planes de contingencia: «…las organizaciones se deben preparar para amenazas (realistas). Entender no solo cuáles son los riesgos, sino que también cómo mitigarlos y cómo se va a actuar en caso de que la violación llegara a ocurrir» (Singh & Bussen, 2015, p. 47).
Con todo, es posible distinguir diversas clases de amenazas. Para Tricker: «Identificar amenazas que pueden significar un gran daño al negocio puede ser difícil. Aunque algunas amenazas pueden ser obvias y fáciles de protegerse de ellas, otros riesgos pueden ser más difíciles de reconocer. A menos que hayan ocurrido con anterioridad, la organización no tendrá experiencia previa, más aún, otras compañías tienden a esconder las malas noticias, aumentando por lo tanto la subestimación de los riesgos potenciales» (Tricker, 2009, p. 337).
Se requiere que en este proceso el análisis se realice desde una perspectiva completa, considerando aspectos externos e internos, estudiando a la organización como una integralidad, «… todas las divisiones, las cuentas mayores, e incluso el departamento de compliance, así como los competidores, terceras partes, y la legislación nacional y estatal. Los puntos de referencia deben ser usados en un esfuerzo para entender la similitud de una violación y la seriedad de la violación si ocurriera» (Singh & Bussen, 2015, p. 47).
Aun cuando para Martínez & Sáez, la importancia de la evaluación de riesgos es mayor en las grandes corporaciones, también corresponde a un aspecto crítico en empresas de menor tamaño, ya que una adecuada gestión de riesgos puede hacer una diferencia relevante en el resultado del ejercicio, como lo expresan al indicar: «El ‘risk assessment’ o evaluación de riesgos se configura así como elemento clave de la gestión empresarial más propio de las grandes corporaciones pero lo cierto y verdad es que los mapas de riesgos son herramientas usadas cada vez con más frecuencia en la gestión de las empresas cuando éstas adquieren cierto tamaño» (Martínez Martínez & Sáez Nicolás, 2018). No es menos cierto que, en aquellas empresas medianas que están comenzando a desarrollar sus matrices de riesgo, existe la posibilidad de prevenir la adquisición de malas prácticas en el quehacer de la organización al incorporar procedimientos que miren las obligaciones éticas de la empresa desde el primer momento en su implementación.
Una de las formas de facilitar el proceso de adopción de la matriz de riesgos estará dado por la incorporación de la cultura organizacional como parte del proceso de diseño. De acuerdo a Singh y Bussen dirigiéndose a los consultores de compliance: «Familiarízate con la historia y las prácticas actuales de tu organización, la historia de tus empleados; y tu cultura organizacional» (Singh & Bussen, 2015, p. 47).
Una vez que se adaptan los criterios de la matriz a la cultura organizacional se orienta desde una perspectiva genérica de mercado a un análisis acotado de las operaciones de la organización. Al realizar esta adaptación la matriz de riesgos es instrumentalizada como un elemento integrante de la planificación estratégica, permitiendo proyectar el avance de la institución: «Esto te permite identificar las diferencias entre donde tus operaciones están actualmente y donde te gustaría que estuvieran en el futuro. Finalmente, toma tus análisis internos y úsalos como puntos de referencia frente a otras organizaciones que estén situadas de manera similar» (Singh & Bussen, 2015, p. 48).
Una vez que se han determinado las acciones deseadas en el quehacer de la organización, deben asignarse responsables en la gestión de cada uno de ellos, cubriéndolos cabalmente, considerando potenciales efectos de la ocurrencia de los riesgos y su gestión, documentando todo el proceso, ya que en dicha documentación se contiene la guía para la gestión de los riesgos, incluyendo los potenciales resultados para cada una de las situaciones analizadas (Tricker, 2009).
En el análisis, diseño e implementación del mapa de riesgos se deben analizar varios aspectos: 1. La historia y práctica de la organización. 2. Cultura y ética. 3. Industria y comparación de pares. 4. Esquema de riesgo. 5. Plan de acción (Singh & Bussen, 2015, p. 48).