¿Qué es el compliance officer?
Antes de comenzar a hablar de la cultura compliance, me gustaría aclarar qué es el compliance officer, ya que se puede considerar el eje de esta cultura.
Esta figura está relacionada con ISO 19600, aquí les dejo más información
En artículos anteriores ya definimos qué es esta figura, a modo de resumen, diremos que el compliance officer o el oficial de cumplimiento en castellano, es el encargado de asegurar el cumplimiento de la normativa de aplicación a de cualquier tipo de legislación relacionada con el sector.
Conceptos de la cultura compliance
Todas o casi todas las empresas y organizaciones buscan obtener beneficios. Para ello, lo más frecuente es que la empresa intente crear valor para ofrecérselo a sus clientes. Sin embargo, esta creación de valor implica que se tengan que asumir riesgos. Por lo tanto, una empresa debe ser capaz de gestionar sus riesgos y también comprenderlos para así darle una valoración y saber qué importancia tienen para cada empresa. Por eso se deben tener en cuenta los siguientes conceptos:
Riesgo despreciable: es aquel cuya posibilidad de que produzca efectos adversos es muy baja, tanto que las medidas que se tomen para reducir estos efectos no se apreciarían realmente. Es decir, no se considere realmente como un riesgo que pueda producir realmente daño.
Riesgo aceptable o tolerable: es aquel que tiene una cierta probabilidad de generar un impacto en la organización que puede ser aceptado o tolerado durante un periodo de tiempo. Siempre hay que tener en cuenta que el riesgo se puede reducir con procedimientos de control adecuados.
Apetito de riesgo: este concepto se refiere al nivel máximo de riesgo que la organización está dispuesta a asumir para alcanzar sus metas.
Tolerancia al riesgo: este es la desviación en relación al apetito de riesgo que una organización está dispuesta a aceptar. Cuando se toma un riesgo, implica que hay que tomar la decisión sobre cuál es el nivel que puede tolerarse y hasta qué nivel puede tolerarse sin que se pongan en peligro los objetivos de la organización. Existen diferentes métodos de evaluación de riesgo para considerar cuales son aceptables. Independientemente del método que siga cada organización, esta debe definir cuál será su nivel de tolerancia al riesgo.
Capacidad de Riesgo: Es el nivel máximo de riesgo que puede soportar la empresa, no se puede superar este nivel.
Riesgo residual: es el que se refiere a la probabilidad de que el riesgo se materialice, después incluso de que se haya valorado y tomado las medidas de control correspondientes.
Riesgo atribuible: es la diferencia entre el riesgo antes de implantar una medida y el riesgo residual que deja tras haberla implementado.
¿Cómo debe gestionar el compliance estos riesgos?
Toda empresa debe controlar en qué nivel se expone al riesgo, por lo que debe controlar en todo momento que la organización se encuentre entre los límites delimitados por el apetito de riesgo. Siempre intentando no llegar al nivel máximo de toleranciapreestablecido.
Evidentemente, no hay una fórmula universal para todas las empresas, sino que tendrán valores distintos. Es por eso que, cada empresa debe definir sus criterios propios.
Esto es más fácil de ver con un ejemplo: Una gran empresa podría catalogar un riesgo como despreciable aquel que suponga unas consecuencias económicas por valor de 5.000€. Sin embargo, para una pequeña empresa, este riesgo podría ser enorme y lógicamente se encuentra por encima del límite máximo que puede asumir. También debemos decir que estos criterios no son invariables, sino que pueden ir ajustándose según las necesidades de cada empresa. Ya que normalmente si se sigue una cultura compliance, las organizaciones suelen mejorar y reducir los valores que han establecido para valorar sus riesgos.