¿Cómo reaccionan las organizaciones frente a los riesgos de compliance?

Una vez se han identificado y evaluado los riesgos de Compliance en la organización, teniendo en cuenta a su vez el análisis de controles realizado y el apetito al riesgo que ha sido definido para la organización, llega el momento en que la Alta Dirección debe decidir qué actitud tomar frente al riesgo.

En este sentido, el estándar COSO (Committee of Sponsoring Organizations of the Treadway Commission), en su marco de control enumera que las opciones de respuesta que la Alta Dirección puede considerar frente al riesgo son: evitarlo; reducirlo (mitigarlo); compartirlo; o aceptarlo.

Las Organizaciones Frente A Los Riesgos De Compliance

La norma ISO 31000 de Gestión del riesgo

La norma ISO 31000 de Gestión del riesgo nos dice que las opciones que tiene la alta dirección, tras haber identificado, analizado y evaluado los riesgos, son:

  • Evitar el riesgo tomando la decisión de no iniciar o de no continuar con la actividad que provoca el riesgo
  • Aceptar e incluso aumentar el riesgo con el objetivo de aprovechar una oportunidad
  • Eliminar la fuente del riesgo
  • Modificar la probabilidad
  • Cambiar las consecuencias
  • Compartir el riesgo
  • Mantener el riesgo en base a una decisión informada.

¿Cómo deben responder las organizaciones frente a los riesgos de Compliance?

Como se puede ver, el tratamiento de riesgos consiste en valorar las opciones que se presentan para poder tomar una decisión al respecto.  Tanto si se tiene en cuenta la ISO 31000 como si lo que se va a considerar es el marco de control de COSO, el Compliance Officer tendrá que estudiar y analizar la necesidad de implantar controles adicionales, bien sea para evitar (impidiendo o prohibiendo la realización de las actividades que dan lugar a la materialización del mismo) o para reducir el riesgo (esto podría hacerse, por ejemplo, eliminando la fuente del riesgo o tratando de reducir su probabilidad o impacto), para compartirlo o transferirlo (mediante la modificación de contratos con terceras partes o suscribiendo pólizas de seguro, entre otros) o para aceptar el riesgo (a través de la monitorización del mismo).

Ahora bien, será importante tener en cuenta que las posibilidades que tiene la organización de actuar frente a los riesgos, a la hora de decidir cómo se van a gestionar los mismos no se excluyen unas a otras, ni todas son apropiadas en cualquier momento, por lo que habrá de atender a las circunstancias de cada caso y cada momento para poder tomar una decisión “ad hoc”.

Avatar Of María Torres

Coordinadora Compliance en Management Solutions

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Leave a Comment

¡Comparte en redes sociales!