Gestión de políticas y riesgos: una conexión esencial

Los responsables de GRC no pueden permitirse ignorar lo importante que se ha vuelto una gestión sólida de las políticas.

Personal de Mitratech
Personal de Mitratech Mayo 7, 2019 5 minutos de lectura
Política de gestión de trámites administrativos Encabezado de la entrada del blog

Existe una profunda conexión entre la gestión de riesgos y la de políticas. Las políticas y sus mejores prácticas de gestión asociadas sólo pueden tener éxito si la empresa tiene un conjunto claro de objetivos declarados y ha identificado las amenazas o riesgos que conlleva alcanzarlos (o no alcanzarlos).

Una vez que se ha definido y comprendido un riesgo, las organizaciones sólo tienen cuatro formas básicas de abordarlo:

  • Evitar - Impedir totalmente que se produzca el riesgo y poner en marcha un plan para asegurarse de que nunca ocurra.
  • Transferir - Trasladar la responsabilidad a otra persona, por ejemplo, un seguro.
  • Mitigar: diseñar acciones para que el riesgo sea menos problemático en caso de que ocurra.
  • Aceptar - Decidir activamente no hacer nada (tal vez el coste de la mitigación supere el impacto).

Las políticas (y procedimientos) son controles o planes específicos que se ponen en marcha para mitigar los riesgos o evitarlos por completo. Aquí es donde surge la conexión relacional entre la gestión de riesgos y la de políticas. En última instancia, las políticas y los procedimientos son responsables de definir la cultura de riesgo de la organización. Las políticas y los procedimientos proporcionan el marco para la ética, los valores y las acciones que la organización espera que sigan sus empleados.

Cobertura de la gestión de la póliza en 5 etapas

Obtenga el libro blanco

Muchas empresas fracasan al no comprender esta relación intrínseca, tanto en la gestión de riesgos, políticas y procedimientos, como en la creación de una verdadera cultura de ética y cumplimiento que impregne toda la organización de arriba abajo.

No definir objetivos y riesgos

Las organizaciones que fracasan en esto suelen hacerlo porque no se han definido sus objetivos o los riesgos asociados. Esto conduce a un efecto dominó en la creación de lo que se ha denominado "políticas ad-hoc" o "políticas deshonestas". Las políticas que se crean de manera ad hoc, es decir, que no están alineadas con los objetivos o los riesgos definidos, a menudo pueden obstaculizar a una organización y dejarla expuesta a riesgos.

Es un problema que se produce cuando la gestión de riesgos y de políticas y procedimientos no se toma en serio, y es un escollo fácil en el que se pueden encontrar las organizaciones, a menudo sin darse cuenta del aumento de la exposición.

Hace que la organización pase a un estado proactivo. Aumenta la credibilidad del programa general de cumplimiento de la organización.Estos ad hoc Las políticas, si no se controlan, acabarán inevitablemente complicando en exceso el negocio y dejando a la organización más expuesta, porque no están redactadas con una conexión clara con los objetivos de la organización. Aunque ad hoc las políticas pueden redactarse para abordar un riesgo específico, es casi imposible medir su eficacia sin entender cuáles son los objetivos de la organización. Uno de los principales propósitos de las prácticas de gestión de riesgos es establecer niveles de tolerancia al riesgo y el apetito general de la organización para hacer frente al riesgo.

Contar con sólidas prácticas de gestión de riesgos y políticas significa que estos niveles de tolerancia están establecidos y que se comprenden las expectativas de los controles y las políticas. Sólo entonces podrá medirse con precisión la eficacia de las políticas. La medición de la eficacia de las políticas debe incluir la evaluación del proceso de gestión de políticas en su conjunto. Para que los departamentos de auditoría interna puedan realizar evaluaciones adecuadas, necesitan una visibilidad completa de los procesos aplicados. Los procesos son en sí mismos otra forma de control, y en este caso, se trata de un control de la gestión de los controles.

Nuevas directrices para el cumplimiento de la normativa por parte de las empresas

La gestión del ciclo de vida de las políticas y procedimientos basada en las mejores prácticas complementa y funciona al unísono con un sólido proceso de gestión de riesgos. Como parte de una evaluación de control al tomar medidas para medir la eficacia de una política, las organizaciones necesitan medir rutinariamente la comprensión de las políticas por parte de los empleados.

Establecer estas métricas e implantar mecanismos que actúen como indicadores clave en la identificación de posibles lagunas o lapsus en el comportamiento proporciona a la organización dos cosas:
Gestión del cumplimiento

  1. Hace que la organización pase a un estado proactivo.
  2. Aumenta la credibilidad del programa general de cumplimiento de la organización.

Por eso la gestión de políticas y procedimientos basada en las mejores prácticas es tan importante para demostrar el cumplimiento y seguir siendo defendible. Demuestra que los riesgos se toman en serio y que los controles y políticas existentes tienen una finalidad definida. Se miden de forma activa y se evalúan continuamente dentro del cambiante panorama en el que opera la empresa.

El Departamento de Justicia ha actualizado recientemente las directrices que utilizan para evaluar la eficacia de los programas de cumplimiento corporativo. No es sorprendente ver que gran parte de esta guía está específicamente relacionada con la gestión de riesgos y políticas.

Gestión de políticas para cumplir un nuevo conjunto de normas

La granularidad de los detalles que los reguladores están buscando en estas áreas es algo que puede haber sido reconocido por varios expertos de la industria, pero el DOJ está claramente poniendo una estaca en el suelo y te dice exactamente los criterios que van a utilizar. Esta granularidad es ahora la norma más que la excepción, y las organizaciones deben esperar estas preguntas como mínimo cuando traten de demostrar que sus programas de cumplimiento son sólidos.

Cuando se trata de que la gestión de riesgos y la gestión de políticas tengan éxito, ambas necesitan una evaluación y gestión constantes, y es importante que se aborden de forma holística. La relación entre ambos, y la alineación de los procesos para gestionarlos, desempeñarán un papel crucial en la forma en que una organización se mantendrá defendible y cumplirá de forma coherente sus obligaciones de cumplimiento.

Deje que la tecnología le ayude ocupándose de las complejidades manuales, para que pueda centrarse realmente en las personas de su organización y en la calidad de su programa de cumplimiento.

Otros recursos sobre cumplimiento y gestión de riesgos que pueden resultarle interesantes:

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.

Potenciar. Automatizar. Elevar. Mitratech

©2026 Mitratech, Inc. Todos los derechos reservados.