Machine Translated by Google

Evaluaciones de riesgo de cumplimiento

El tercer ingrediente en un programa de ética y
cumplimiento de clase mundial
Machine Translated by Google

No puede mitigar un riesgo si no sabe que existe ¿En qué se diferencia una evaluación de riesgos de cumplimiento de
otras evaluaciones de riesgos?
A medida que proliferan las reglamentaciones globales y aumentan

las expectativas de las partes interesadas, las organizaciones están Las organizaciones realizan evaluaciones para identificar diferentes tipos

expuestas a un mayor grado de riesgo de cumplimiento que nunca. de riesgos organizacionales. Por ejemplo, pueden realizar evaluaciones de

El riesgo de cumplimiento es la amenaza que se presenta a la posición riesgos empresariales para identificar los riesgos estratégicos, operativos,

financiera, organizacional o de reputación de una organización como financieros y de cumplimiento a los que está expuesta la organización. En la

resultado de violaciones de leyes, reglamentos, códigos de conducta o mayoría de los casos, el proceso de evaluación de riesgos empresariales se

estándares de práctica organizacionales. Para comprender su exposición al centra en la identificación de riesgos de “apuesta por la empresa”, aquellos

riesgo, muchas organizaciones pueden necesitar mejorar su proceso de que podrían afectar la capacidad de la organización para lograr sus objetivos

evaluación de riesgos para incorporar completamente la exposición al riesgo estratégicos.

de cumplimiento. La mayoría de las organizaciones también realizan evaluaciones

de riesgos de auditoría interna para ayudar en el desarrollo del plan de

El caso para realizar evaluaciones sólidas de riesgo de
auditoría interna. Es probable que una evaluación de riesgos de auditoría
cumplimiento está profundamente arraigado en las Pautas federales de
interna tradicional considere los riesgos de los estados financieros y otros
sentencias para organizaciones de EE. UU. que establece el potencial de
riesgos operativos y de cumplimiento.
crédito o multas y sanciones reducidas en caso de que una organización sea

declarada culpable de una falta de cumplimiento. Si bien estos dos tipos de evaluaciones de riesgos suelen tener por objeto

En el entorno actual de convergencia regulatoria global, complejidad cada identificar riesgos significativos relacionados con el cumplimiento, ninguno

vez mayor y expansión de negocios en industrias nuevas o adyacentes, la está diseñado para identificar específicamente los riesgos de cumplimiento

necesidad de una visión más amplia del riesgo de cumplimiento nunca ha normativo o legal (consulte la tabla ilustrativa).

sido tan grande. Por lo tanto, si bien las evaluaciones de riesgo de cumplimiento

No obstante, según una encuesta realizada conjuntamente por Deloitte y deben vincularse con los procesos de riesgo de auditoría interna o de

Compliance Week, 1 El 40 por ciento de las empresas la empresa, por lo general requieren un enfoque más centrado. Eso no

no realizan una evaluación anual de riesgos de cumplimiento. quiere decir que no se puedan completar al mismo tiempo, o que deban

ser esfuerzos aislados: la mayoría de las organizaciones pueden

Es probable que muchos funcionarios de ética y cumplimiento estén de
combinar las actividades que respaldan varias evaluaciones de riesgos, tal
acuerdo en que todos los días aparecen nuevos riesgos de ética,
vez siguiendo un proceso inicial de identificación y evaluación de riesgos
cumplimiento y reputación. Al mismo tiempo, la reciente recesión mundial
de cumplimiento.
obligó a muchas funciones organizacionales a examinar de cerca sus

presupuestos y recursos. Juntos, estos factores han creado una tensión

entre las crecientes obligaciones regulatorias y la presión de hacer más con

menos. Para ayudar a resolver esta situación y continuar agregando valor a

sus organizaciones, los profesionales de ética y cumplimiento deben

asegurarse de comprender el espectro completo de riesgos de cumplimiento

que acechan en cada parte de la organización. Luego, deben evaluar qué

riesgos tienen el mayor potencial de daño legal, financiero, operativo o de

reputación y asignar recursos limitados para mitigar esos riesgos.

1 En foco: Encuesta de tendencias de cumplimiento de 2014. http://www2.deloitte.com/

us/en/pages/risk/articles/compliance-trends-survey-2014.html

Tal como se utiliza en este documento, “Deloitte” significa Deloitte & Touche LLP, una subsidiaria de Deloitte LLP. Consulte www.deloitte.com/us/about para obtener una
descripción detallada de la estructura legal de Deloitte LLP y sus subsidiarias. Ciertos servicios pueden no estar disponibles para atestiguar clientes bajo las reglas y regulaciones
de la contabilidad pública.

2
Machine Translated by Google

La interrelación entre la gestión de riesgos empresariales (ERM), la auditoría interna y las evaluaciones de riesgos de cumplimiento

ERM Auditoría interna Cumplimiento

Objetivo Identificar, priorizar y asignar Determinar y priorizar los riesgos para Identificar, priorizar y asignar

responsabilidades para la ayudar a desarrollar el plan de auditoría responsabilidades para la gestión de amenazas

gestión de riesgos estratégicos, interna, ayudando a proporcionar a la junta y existentes o potenciales relacionadas con el

operativos, financieros y al equipo ejecutivo incumplimiento legal o de políticas, o mala

reputacionales. con garantías relacionadas con el riesgo conducta ética, que podría dar lugar a multas.

esfuerzos de gestión y otras actividades o sanciones, daños a la reputación o la incapacidad

de cumplimiento de operar en mercados clave

Alcance Cualquier riesgo que afecte Estado financiero e interno Leyes y reglamentos que la organización

significativamente la riesgos de control, así como algunos debe cumplir en todas las jurisdicciones en

capacidad de la organización riesgos operativos y de cumplimiento que las que realiza negocios, así como políticas

para lograr sus objetivos probablemente tengan un impacto material organizacionales críticas, ya sea que esas

estratégicos en el desempeño de la empresa o los estados políticas se basen o no en requisitos legales.

financieros

Típico Director de riesgos/ Director Ejecutivo de Auditoría Director de Cumplimiento

dueño director financiero

Comprender sus principales riesgos de cumplimiento Un marco efectivo también puede delinear y organizar los elementos de una

estrategia efectiva de mitigación de riesgos que se puede aplicar a cada dominio

La evaluación del riesgo de cumplimiento ayudará a la organización a
de riesgo de cumplimiento.
comprender la gama completa de su exposición al riesgo, incluida la

probabilidad de que ocurra un evento de riesgo, las razones por las que Figura 1: Programa de ética y cumplimiento empresarial y
puede ocurrir y la gravedad potencial de su impacto. marco de exposición al riesgo: un ejemplo ilustrativo (© Deloitte
Development LLC)
Una evaluación de riesgos de cumplimiento diseñada de manera efectiva

también ayuda a las organizaciones a priorizar los riesgos, asignar estos riesgos
Vendedor Anti-Dinero
a los propietarios de riesgos aplicables y asignar recursos de manera efectiva para Relación lavado
administración
Comercio/ Antimonopolio y
la mitigación de riesgos. Importación y exportación Consumidor
Proteccion

Construcción de un marco y una metodología

Cliente
Cadena de suministro
Continuo Gobernanza y
Relación
administración
Mejora Liderazgo
Debido a que la variedad de posibles riesgos de cumplimiento que
Riesgo
enfrenta una organización suele ser muy compleja, cualquier evaluación Evaluaciones y
Tercero
vencimiento
Operaciones Cumplimiento La seguridad cibernética
sólida debe emplear tanto un marco como una metodología. El marco Diligencia
& Privacidad

establece el panorama de riesgo de cumplimiento de la organización y lo Cultura de

Ética y
Normas,
Pruebas y Cumplimiento Políticas y
organiza en dominios de riesgo, mientras que la metodología contempla Vigilancia Procedimientos
Licencia y directo y
Permisos Impuesto indirecto
formas tanto objetivas como subjetivas de evaluar esos riesgos.
Caso
Entrenar y
Administración y Comunicaciones
Investigaciones
Ambiente,
Empleado
Legal
El marco debe ser integral, dinámico y personalizable, lo que permite a la Informes
Salud,
y seguridad

organización identificar y evaluar las categorías de riesgo de cumplimiento a

Mano de obra &
Externo/
las que puede estar expuesta (consulte la Figura 1). Algunos riesgos de Empleo Regulador
Informes

cumplimiento son específicos de una industria u organización, por ejemplo, las Financiero Fraude y
Cumplimiento Corrupción

normas de seguridad de los trabajadores para los fabricantes o las normas que

rigen el comportamiento de los representantes de ventas en la industria

farmacéutica. Otros riesgos de cumplimiento trascienden las industrias o

geografías, como los conflictos de interés, el acoso, la privacidad y la retención

de documentos.

Evaluaciones de riesgo de cumplimiento El tercer ingrediente en un programa de ética y cumplimiento de clase mundial 3
Machine Translated by Google

Aplicación de la metodología y realización de la evaluación de • Impacto comercial: eventos adversos, como embargos
riesgos o cierres de plantas, que podrían interrumpir significativamente la

El uso de una metodología objetiva para evaluar la probabilidad y el impacto capacidad de operación de la organización.

potencial de cada riesgo ayudará a la organización a comprender su exposición

• Impacto reputacional: Daño a la reputación o marca de la organización,
al riesgo inherente. El “riesgo inherente” es el riesgo que existe en ausencia
por ejemplo, mala prensa o discusión en las redes sociales, pérdida de
de controles o estrategias de mitigación. Al principio, obtener una comprensión
confianza del cliente o disminución de la moral de los empleados.
preliminar del riesgo inherente ayuda a la organización a desarrollar una visión

temprana de su estrategia para la mitigación del riesgo.

Es importante proporcionar medidas tanto cuantitativas como cualitativas

Y cuando las organizaciones identifican el riesgo inherente, deben considerar para cada categoría. Sin embargo, como ocurre con todas las evaluaciones

los factores de riesgo clave que se pueden organizar en las siguientes cuatro de riesgos, la medición precisa puede resultar difícil de alcanzar. En el caso

categorías amplias: de riesgos con impacto financiero directo, un valor monetario real puede ser

medible con respecto al riesgo. Otra forma de evaluar el riesgo es utilizar una
• Impacto legal: Acción regulatoria o legal iniciada contra la organización o sus
escala de criticidad que indique el alcance del impacto en caso de
empleados que podría resultar en multas, sanciones, encarcelamiento,
incumplimiento. El alcance del impacto se puede describir en términos
confiscación de productos o inhabilitación.
cualitativos. Por ejemplo, para el impacto reputacional, el impacto bajo puede

ser mínimo o ninguna cobertura de prensa, mientras que el impacto alto puede

• Impacto financiero: impactos negativos con respecto a los resultados de ser una prensa negativa extensa en los medios nacionales (ver Figura 2).

la organización, el precio de las acciones, las ganancias futuras potenciales

o la pérdida de confianza de los inversionistas.

Figura 2: Una escala de criticidad ilustrativa (© Deloitte Development LLC)

Caída de reputación/daño a la marca Multas civiles o penales o Pérdida de ventas/cliente

Clasificación
sanciones confianza

Cobertura mediática negativa Importante acción federal o estatal/ Pérdida o daño significativo de

sostenida a nivel nacional (e Investigación de fraude o soborno la(s) relación(es) con el cliente,

internacional) de EE. UU. (primera página incluidos los cierres de clientes

Alto de la sección de negocios)

Cobertura negativa de los medios Investigaciones federales o estatales Incapacidad para satisfacer las

nacionales o internacionales de EE. necesidades del cliente, por ejemplo,

UU. (no en la portada) problemas de calidad significativos, retrasos

del cliente o incapacidad para entregar productos

al cliente

Cobertura mediática negativa en Litigios costosos de rutina Productos ineficaces entregados a los

una región específica de EE. UU. o clientes o retraso en la entrega al cliente

en un país extranjero

Impacto negativo localizado en la Acciones menores, sanciones/multas Aceptación inferior a la óptima por

reputación (como un solo cliente clientes

Bajo

grande) pero recuperable

Sin exposición a la prensa Ninguna acción regulatoria o legal Impacto limitado, si lo hay, en
clientes

4
Machine Translated by Google
Determinación del riesgo residual
Si bien es imposible eliminar toda la exposición al riesgo de una organización,
el marco y la metodología de riesgo ayudan a la organización a priorizar qué
riesgos desea administrar de manera más activa. Desarrollar un marco y una
metodología ayuda a las organizaciones a determinar hasta qué punto las
actividades existentes de mitigación de riesgos de la organización (por ejemplo,
pruebas y monitoreo o programas de capacitación de empleados) pueden
reducir el riesgo. Las actividades efectivas de mitigación de riesgos pueden
reducir la probabilidad de que ocurra el evento de riesgo, así como la gravedad
potencial del impacto para la organización.
Cuando una organización evalúa el riesgo inherente a la luz de su entorno de
control y actividades existentes, el grado de riesgo resultante se conoce como
"riesgo residual". Si las estrategias de mitigación de riesgos existentes son
insuficientes para reducir el riesgo residual a un nivel aceptable, esto es una
indicación de que se requieren medidas adicionales.
Algunas preguntas clave sobre su exposición
Hay una serie de preguntas críticas que las organizaciones deben hacer en relación con los riesgos de
cumplimiento y los programas implementados para mitigar esos riesgos:
• ¿Qué tipos de fallas de cumplimiento crearían un riesgo de marca significativo o
daño a la reputación? ¿Las fallas podrían surgir internamente, en la cadena de suministro o con respecto a
terceros que operan en nombre de la organización? ¿Cuál es el impacto probable de ese daño en el valor de
mercado, las ventas, las ganancias, la lealtad del cliente o la capacidad de operación de la organización?
• ¿Qué tipos de errores de cumplimiento podrían causar que la organización pierda la capacidad de vender o
entregar productos/servicios por un período de tiempo?
• ¿Cómo deberían cambiar el diseño del programa de cumplimiento, la tecnología, los procesos y los requisitos de
recursos a la luz de los planes de crecimiento, las adquisiciones o el producto/categoría/
¿expansiones de servicio?
• ¿La organización está haciendo lo suficiente para informar a los clientes, inversionistas, terceros?
partes y otras partes interesadas sobre su visión y valores? ¿Está aprovechando al máximo las
inversiones en ética, cumplimiento y gestión de riesgos como posibles diferenciadores competitivos?
• ¿Cuáles son los costos totales de cumplimiento—más allá de los salarios y beneficios en el
nivel centralizado—y cómo se alinean los costos con los riesgos de cumplimiento más significativos que podrían
afectar la marca o resultar en multas, sanciones y/o
o litigio?
• ¿Qué tan bien posicionada está la función de cumplimiento? ¿Tiene un asiento "en la mesa"
para evaluar e influir en las decisiones estratégicas?
• ¿Cuáles son las exposiciones personales y profesionales de la dirección ejecutiva y
la junta directiva con respecto al cumplimiento?
Evaluaciones de riesgo de cumplimiento El tercer ingrediente en un programa de ética y cumplimiento de clase mundial 5
¿Qué hace que una evaluación de riesgos de cumplimiento
sea de clase mundial?
Si bien cada evaluación de riesgo de cumplimiento es diferente, las más
efectivas tienen varias cosas en común.
Para construir una evaluación de clase mundial, considere las siguientes
prácticas líderes:
• Reúna información de un equipo multifuncional: A
La evaluación del riesgo de cumplimiento requiere la participación de
especialistas en la materia del departamento de cumplimiento y de toda la
empresa. Son las personas que viven y respiran el negocio (aquellas en
funciones específicas, unidades de negocio y geografías) quienes realmente
entienden los riesgos a los que está expuesta la organización y ayudarán
a garantizar que se identifiquen y evalúen todos los riesgos clave. Además,
si la metodología se diseña en un vacío sin consultar a los propietarios del
riesgo, el resultado del proceso carecerá de credibilidad a la hora de
implementar programas de mitigación.
• Construir sobre lo que ya se ha hecho: en lugar de
Comenzando desde cero, busque formas de aprovechar el material
existente, como evaluaciones de riesgo empresarial, informes de auditoría
interna y revisiones de calidad, e integre el contenido de riesgo de
cumplimiento cuando corresponda. Asegúrese de comunicar las diferencias
entre las evaluaciones de riesgo de cumplimiento y otras evaluaciones a los
grupos que busca involucrar. Claramente, el resultado de cada proceso de
evaluación de riesgos debe informar y conectarse con cada uno de los
demás.
• Establezca una propiedad clara del riesgo de riesgos específicos e impulse
una mayor transparencia: una evaluación integral del riesgo de
cumplimiento ayudará a identificar a las personas responsables de
administrar cada tipo de riesgo y facilitará que los ejecutivos controlen las
actividades de mitigación de riesgos, los esfuerzos de remediación, y
exposiciones a riesgos emergentes.
• Haga que la evaluación sea procesable: la evaluación
ambos priorizan los riesgos e indican cómo deben mitigarse o remediarse.
Las acciones de remediación deben ser universalmente entendidas y
viables a través de las fronteras.
Asegúrese de que el resultado de la evaluación de riesgos se pueda usar
en la planificación operativa para asignar recursos y que también pueda
servir como punto de partida para los programas de prueba y monitoreo.
Machine Translated by Google

• Solicite información externa cuando corresponda: por definición, una
evaluación de riesgos se basa en el conocimiento de los riesgos
emergentes y el comportamiento regulatorio, que no siempre son bien
conocidos dentro de la organización. Aprovechar la experiencia externa
puede informar la evaluación y garantizar que incorpore una comprensión
detallada de los problemas de cumplimiento emergentes.
Muchas organizaciones están considerando inversiones en
tecnología, como herramientas analíticas y de monitoreo de marca,
para ayudar a aprovechar y analizar datos para fortalecer sus
capacidades de detección de riesgos. Además, las organizaciones están
considerando inversiones en datos, incluido el monitoreo de menciones
negativas/medios tradicionales, datos de redes sociales, encuestas y
otras fuentes de datos.

• Trate la evaluación como una vida que respira. Conclusión

documento: Una vez que asigne recursos para mitigar o remediar los
El entorno regulatorio en constante cambio aumenta la vulnerabilidad de la
riesgos de cumplimiento, la gravedad potencial de esos riesgos
mayoría de las organizaciones al riesgo de cumplimiento.
cambiará. Lo mismo ocurre con los eventos en el entorno empresarial.
Esto es particularmente cierto para aquellas organizaciones que operan a
Todo esto debería impulsar cambios en la evaluación misma.
escala global. La complejidad del panorama de riesgos y las sanciones por
incumplimiento hacen que sea esencial que las organizaciones realicen

• Utilice un lenguaje sencillo que se dirija a un público empresarial general: evaluaciones exhaustivas de su exposición al riesgo de cumplimiento. Una
la evaluación debe ser clara, fácil de entender y procesable. Evite buena evaluación de riesgos de ética y cumplimiento incluye un marco
absolutos y análisis jurídicos complejos. integral y una metodología para evaluar y priorizar el riesgo.

Con esta información en la mano, las organizaciones podrán desarrollar

• Repita periódicamente la evaluación de riesgos: las evaluaciones
estrategias de mitigación efectivas y reducir la probabilidad de un evento
de riesgos de cumplimiento efectivas se esfuerzan por garantizar
importante de incumplimiento o falla ética, diferenciándose en el mercado
un enfoque consistente que continúe implementándose a lo largo del
de sus competidores.
tiempo, por ejemplo, cada uno o dos años. Al mismo tiempo, la
inteligencia de riesgos requiere un análisis continuo y un análisis del
entorno para identificar riesgos emergentes o señales de alerta temprana.

• Aproveche los datos: al incorporar y analizar datos clave (p. ej.,

estadísticas de líneas directas, registros transaccionales,
resultados de auditorías, informes de excepción de cumplimiento,
etc.), las organizaciones pueden obtener una comprensión más profunda
de dónde pueden residir los riesgos existentes o emergentes dentro del negocio.

6
Machine Translated by Google

Contactos

Comuníquese con uno de nuestros líderes de Servicios de Cumplimiento Empresarial para obtener más información.

nicole sandford keith darcy maureen mohlenkamp

Socio | Asesoramiento de Deloitte Asesor Senior Independiente de directora | Asesoramiento de Deloitte

Líder Nacional de Práctica, Deloitte & Touche LLP Deloitte & Touche LLP

Servicios de cumplimiento empresarial +1 203 905 2856 +1 212 436 2199

Deloitte & Touche LLP kdarcy@deloitte.com mmohlenkamp@deloitte.com Stamford,

+1 203 708 4845 Stamford, CT CT

nsandford@deloitte.com
Stamford, CT

brian clark Laurie Eissler Nolan Haskovec

Socio | Asesoramiento de Deloitte directora | Asesoramiento de Deloitte Gerente sénior | Asesoramiento de Deloitte
Deloitte & Touche LLP Deloitte & Touche LLP Deloitte & Touche LLP

+1 816 802 7751 +1 313 396 3321 +1 212 436 2973

bclark@deloitte.com leissler@deloitte.com nhaskovec@deloitte.com Nueva

Kansas City, MO Detroit, MI York, NY

kevin carril Tomás Nicolosi acebo tucker

directora | Asesoramiento de Deloitte directora | Asesoramiento de Deloitte Socio | Asesoramiento de Deloitte

Deloitte & Touche LLP Deloitte & Touche LLP Servicios de asesoría financiera de Deloitte LLP
+1 214 840 1577 +1 215 405 5564 +1 214 840 7432

kelane@deloitte.com Dallas, tnicolosi@deloitte.com htucker@deloitte.com Dallas,

TX Filadelfia, Pensilvania TX

Además, no dude en comunicarse con nuestro equipo de ex funcionarios de cumplimiento que se encuentran en todo el país y tienen experiencia en una

amplia variedad de industrias.

Martín Biegelmann Rob Biskup timoteo cercelle

directora | Asesoramiento de Deloitte directora | Asesoramiento de Deloitte directora | Asesoramiento de Deloitte

Servicios de asesoría financiera de Deloitte LLP Servicios de asesoría financiera de Deloitte LLP Deloitte & Touche LLP

+1 602 631 4621 +1 313 396 3310 +1 216 589 5415

mbiegelman@deloitte.com Phoenix, rbiskup@deloitte.com tcercelle@deloitte.com Detroit, MI Cleveland, OH Industria:

AZ Industria: Tecnología Productos industriales y de consumo Industria: Seguros

miguel fay Howard Friedman Jorge Hanley

directora | Asesoramiento de Deloitte directora | Asesoramiento de Deloitte directora | Asesoramiento de Deloitte

Deloitte & Touche LLP Deloitte & Touche LLP Deloitte & Touche LLP

+1 617 437 3697 +1 713 982 3065 +1 973 602 4928

mifay@deloitte.com hfriedman@deloitte.com Houston, ghanley@deloitte.com

Boston, MA Sector: gestión TX Industria: energía y recursos Parsippany, NJ Industria:

de inversiones Seguros

Pedro Reynolds Tomás Rollauer

directora | Asesoramiento de Deloitte directora | Asesoramiento de Deloitte

Deloitte & Touche LLP Director Ejecutivo, Centro Deloitte para
+1 973 602 4111 Estrategias regulatorias

pereynolds@deloitte.com Deloitte & Touche LLP

Parsippany, NJ Sector: gestión +1 212 436 4802

de inversiones trollauer@deloitte.com Nueva

York, NY Industria: servicios

financieros/banca y valores
Machine Translated by Google

Esta publicación contiene información general únicamente y Deloitte, por medio de esta publicación, no está brindando asesoramiento o servicios contables, comerciales,
financieros, de inversión, legales, impositivos u otros. Esta publicación no reemplaza dicho asesoramiento o servicios profesionales, ni debe utilizarse como base para ninguna
decisión o acción que pueda afectar su negocio. Antes de tomar cualquier decisión o realizar cualquier acción que pueda afectar su negocio, debe consultar a un asesor profesional
calificado.

Deloitte no será responsable de ninguna pérdida sufrida por cualquier persona que confíe en este documento.

Copyright © 2015 Deloitte Development LLC. Reservados todos los derechos.

Miembro de Deloitte Touche Tohmatsu Limited