Existe una profunda conexión entre la gestión de riesgos y la gestión de políticas. Las políticas y las mejores prácticas de gestión asociadas a ellas solo pueden tener éxito si la empresa tiene un conjunto claro de objetivos establecidos y ha identificado las amenazas o los riesgos que conlleva alcanzarlos (o no alcanzarlos).
Una vez que se ha definido y comprendido un riesgo, las organizaciones solo disponen de cuatro formas básicas para abordarlo:
- Evitar: detener el riesgo por completo y poner en marcha un plan para garantizar que nunca ocurra.
- Transferencia: trasladar la responsabilidad a otra persona, por ejemplo, a una aseguradora.
- Mitigar: idear medidas para que el riesgo sea menos problemático si se produce.
- Aceptar: decidir activamente no hacer nada (tal vez el costo de la mitigación supere el impacto).
Las políticas (y los procedimientos) son controles o planes específicos que se implementan para mitigar los riesgos o evitarlos por completo. De ahí proviene la conexión relacional entre la gestión de riesgos y la gestión de políticas. En última instancia, las políticas y los procedimientos son responsables de definir la cultura de riesgo de la organización. Las políticas y los procedimientos proporcionan el marco para la ética, los valores y las acciones que la organización espera que sigan sus empleados.
El no comprender esta relación intrínseca es el motivo por el que fracasan muchas empresas, tanto en la gestión de riesgos, políticas y procedimientos, como en la creación de una verdadera cultura de ética y cumplimiento que impregne toda la organización, desde arriba hasta abajo.
No definir los objetivos y los riesgos
Las organizaciones que fracasan en este aspecto suelen hacerlo porque no han definido sus objetivos ni los riesgos asociados. Esto provoca un efecto dominó en la creación de lo que se ha denominado «políticas ad hoc» o «políticas irregulares». Las políticas que se crean de manera ad hoc, es decir, que no están alineadas con los objetivos ni con los riesgos definidos, a menudo pueden obstaculizar a una organización y dejarla expuesta al riesgo.
Es un problema que se produce cuando no se toman en serio la gestión de riesgos, políticas y procedimientos, y es una trampa fácil en la que pueden caer las organizaciones, a menudo sin darse cuenta del aumento de la exposición.
Estos ad hoc Las políticas, si no se controlan, acabarán inevitablemente complicando en exceso las actividades empresariales y dejando a la organización más expuesta, ya que no están redactadas con una conexión clara con los objetivos de la organización. Aunque ad hoc Las políticas pueden redactarse para abordar un riesgo específico, pero es casi imposible evaluar su eficacia sin comprender cuáles son los objetivos de la organización. Uno de los principales propósitos de las prácticas de gestión de riesgos es establecer niveles de tolerancia al riesgo y la disposición general de la organización para lidiar con el riesgo.
Contar con sólidas prácticas de gestión de riesgos y políticas significa que se establecen estos niveles de tolerancia y se comprenden las expectativas en materia de controles y políticas. Solo entonces se puede llevar a cabo una medición precisa de la eficacia de las políticas. La medición de la eficacia de las políticas debe incluir la evaluación del proceso de gestión de políticas en su conjunto. Para que los departamentos de auditoría interna puedan realizar evaluaciones adecuadas, necesitan tener una visibilidad completa de los procesos implementados. Los procesos son en sí mismos otra forma de control y, en este caso, se trata de un control de la gestión de los controles.
Nuevas directrices para el cumplimiento normativo corporativo
La gestión del ciclo de vida de las políticas y los procedimientos basada en las mejores prácticas complementa y funciona en armonía con un sólido proceso de gestión de riesgos. Como parte de una evaluación de control al tomar medidas para medir la eficacia de una política, las organizaciones deben medir de forma rutinaria la comprensión de las políticas por parte de los empleados.
El establecimiento de estas métricas y la implementación de mecanismos que actúen como indicadores clave para identificar posibles lagunas o fallos en el comportamiento proporcionan a la organización dos cosas:
- Hace que la organización pase a un estado proactivo.
- Esto refuerza la solidez del programa general de cumplimiento normativo de la organización.
Por eso es tan importante la gestión de políticas y procedimientos basada en las mejores prácticas para demostrar el cumplimiento normativo y mantener la capacidad de defensa. Demuestra que los riesgos se toman en serio y que los controles y las políticas establecidos tienen un propósito definido. Se miden de forma activa y se evalúan continuamente en el cambiante panorama en el que opera la empresa.
El Departamento de Justicia ha actualizado recientemente las directrices que utiliza para evaluar la eficacia de los programas de cumplimiento corporativo. No es de extrañar que gran parte de esta guía esté relacionada específicamente con la gestión de riesgos y políticas.
Gestión de políticas para cumplir con un nuevo conjunto de normas
La minuciosidad con la que los reguladores buscan detalles en estas áreas es algo que tal vez hayan notado varios expertos de la industria, pero el Departamento de Justicia está dejando las cosas claras y diciendo exactamente los criterios que van a utilizar. Esta granularidad es ahora la norma y no la excepción, y las organizaciones deben esperar estas preguntas como mínimo cuando intenten demostrar que sus programas de cumplimiento son sólidos.
Para que la gestión de riesgos y la gestión de políticas tengan éxito, ambas necesitan una evaluación y una gestión constantes, y es importante abordarlas de manera integral. La relación entre ambas y la alineación de los procesos para gestionarlas desempeñarán un papel crucial en la forma en que una organización se mantendrá defendible y ejecutará de manera coherente sus obligaciones de cumplimiento.
Deje que la tecnología le ayude ocupándose de las complejidades manuales, para que pueda centrarse realmente en las personas de su organización y en la calidad de su programa de cumplimiento.
Otros recursos sobre cumplimiento y gestión de riesgos que pueden resultarle interesantes:
-
Guía del experto: Las 7 señas de identidad de un cumplimiento eficaz
-
Blog Post: Cómo ayuda la tecnología a crear un programa de cumplimiento eficaz
-
Infografía: GRC Hurdles & High Jumps in Building a Culture of Compliance (Obstáculos y grandes saltos de GRC en la creación de una cultura de cumplimiento)
