MATRIZ DE RIESGO: QUE ES Y PARA QUÉ SIRVE - Carranza Torres

MATRIZ DE RIESGO: QUE ES Y PARA QUÉ SIRVE

Por Soledad Cuellar En el contexto actual, la aplicación de sistemas de cumplimiento ya no es exclusiva para las grandes corporaciones o el Estado, es crucial que las pequeñas y medianas empresas, independiente del sector al que pertenezcan, conozcan y adopten los mismos con el fin de prevenir riesgos económicos, legales y reputacionales. Los sistemas […]

Por Soledad Cuellar

En el contexto actual, la aplicación de sistemas de cumplimiento ya no es exclusiva para las grandes corporaciones o el Estado, es crucial que las pequeñas y medianas empresas, independiente del sector al que pertenezcan, conozcan y adopten los mismos con el fin de prevenir riesgos económicos, legales y reputacionales.

Los sistemas de cumplimiento son un conjunto de normas y procedimientos que practican las empresas para identificar y clasificar riesgos operativos y legales a los que se enfrentan, estableciendo mecanismos internos de prevención, gestión, control y reacción frente a las mismos; para poder así mitigarlos, y limitar de esta manera su impacto a través de programas de integridad.

El enfoque preventivo de una evaluación de riesgos es vital en los programas de integridad ya que refleja el impacto de estos y el margen de acción de la compañía, y para que la gestión de los mismos en un programa de integridad sea la adecuada es fundamental construir una matriz o mapa de riesgos.

La matriz o mapa de riesgos es una herramienta clave para la gestión adecuada de los riesgos de compliance. Tiene como objetivo principal ayudar a las empresas a cumplir las leyes y normas vigentes que son aplicables según su actividad, al igual que los códigos éticos y estándares internos.

Gracias a esta matriz de riesgos, la empresa puede definir y tomar decisiones estratégicas para identificar eventos potenciales que la puedan afectar, gestionarlos dentro de un margen aceptado (aplicar controles y medidas para poder prevenir o mitigar las contingencias) y proporcionar seguridad para el desarrollo de sus actividades.

Una de las mejores maneras de elaborar estas matrices son con técnicas que permitan identificar, cuantificar y valorar los riesgos a los que se tiene que hacer frente. Su elaboración precisa conocimientos técnicos y una metodología adecuada a cada compañía:

A. Identificación de los Riesgos.

Este paso consiste en evaluar y enumerar todos los procesos que se aplican en las distintas áreas de la empresa que pudieran afectar al programa de integridad. Es decir, se debe crear un listado con cada uno de los riesgos identificados teniendo en cuenta aspectos claves de la empresa, como la actividad que realiza, su ubicación geográfica, su estructura organizacional, las leyes y normativas que debe cumplir, los procesos internos, etc.

B. Evaluación de probabilidad e impacto.

Los riesgos se miden en función de dos cualidades: su impacto y su probabilidad de ocurrencia.

El impacto corresponde a qué pasaría si esa situación que identificamos como riesgo efectivamente pueda suceder, y cuál sería la consecuencia para la compañía (económica, legal, reputacional, etc). En cuanto a la probabilidad de ocurrencia, se determina qué tan posible es que el riesgo se materialice y afecte a la empresa.

Estas dos variables deben poder valorarse, y para esto es necesario determinar un criterio común de todos los involucrados en el proceso análisis que les permita establecer un valor específico para cada uno de los riesgos registrados. A modo de ejemplo se puede valorizar respecto a su probabilidad en:

Poco probable: la probabilidad de que ocurra el riesgo es muy baja, casi nula.
Posible: la probabilidad de que ocurra el incumplimiento es baja, aunque puede suceder.
Ocasional: el riesgo de incumplimiento puede materializarse en algún momento.
Muy probable: la materialización del riesgo es alta.
Altamente probable: la probabilidad de ocurrencia del riesgo es muy alta.

Y en cuanto a su impacto en la compañía si sucediera el hecho:

Muy bajo: el riesgo de incumplimiento no representa un problema para la empresa.
Bajo: el riesgo causa un mínimo impacto..
Medio: el riesgo de incumplimiento puede causar un impacto mesurado.
Alto: el riesgo de incumplimiento implica importantes pérdidas para la organización.
Muy alto: el riesgo genera impactos graves que pueden afectar la continuidad y buena reputación de la empresa.

C. Mitigación de los Riesgos:

Una vez identificadas y valoradas las contingencias, se debe evaluar qué acciones puede ejecutar la empresa para disminuir el impacto del riesgo y/o su probabilidad de ocurrencia.

Esto se puede plantear teniendo en cuenta si las medidas a aplicar serán internas o externas. A nivel interno se puede establecer un procedimiento que regule un proceso riesgoso con la implementación de aprobaciones o la capacitación del personal relacionado a este. Paralelamente a nivel externo, se pueden tomar decisiones más amplias como firmar pactos de integridad con proveedores.

Una vez ejecutadas estas acciones, debemos volver a hacer la evaluación de riesgos para obtener el valor del riesgo residual, es decir, el riesgo que queda una vez que se ejecutaron las acciones mitigantes.

Las medidas o controles que se establezcan, pueden ser preventivos, detectivos o correctivos, y según su efectividad servirán para disminuir el nivel del riesgo o eliminarlo, para ello es muy importante tener en cuenta lo que implica llevar a cabo la ejecución de estas medidas y su impacto en la compañía.

D. Monitoreo de Riesgos:

Por último, pero fundamental, es necesario mantener a lo largo del tiempo el monitoreo de los riesgos evaluados y los que surjan, para poder determinar si todo lo que se aplicó fue efectivo. Para ello se debe determinar la frecuencia y la persona responsable de su seguimiento y de la ejecución de los controles correspondientes.

Es importante destacar que una evaluación de riesgos tiene implicancia legal ya que la Ley 27.401 de Responsabilidad Penal de las Personas Jurídicas, en su artículo 23 establece que “el análisis periódico de riesgos y la consecuente adaptación del programa de integridad” es un elemento no obligatorio, pero recomendado para demostrar la efectiva implementación de un programa de integridad de una compañía y es un instrumento que puede jugar a favor de esta, siempre y cuando esté bien realizado y documentado, ante un cuestionamiento por parte de las autoridades regulatorias frente a un caso de corrupción.

En síntesis, construir e implementar una matriz de riesgo, y contar con un Programa de Integridad ayuda a las empresas a actuar según las normas vigentes, preservar su integridad, su reputación y a evitar sanciones que pueden afectar sus finanzas e incluso su continuidad.

DERECHOS DE IMAGEN PARA INTELIGENCIA ARTIFICIAL: ¿Qué contratos se deben firmar?

DERECHOS DE IMAGEN PARA INTELIGENCIA ARTIFICIAL: ¿Qué contratos se deben firmar?

16/03/2025

Por Segundo Carranza Torres En esta nota (link), hablé sobre las creaciones a través de inteligencia artificial utilizando voz, imagen o apariencia de otra persona (NILs en inglés por sus siglas de Name, image, likeliness). En esa oportunidad destaqué que, desde la...

Confidencialidad: Cuándo y Cómo Elaborar un Acuerdo Efectivo.

Confidencialidad: Cuándo y Cómo Elaborar un Acuerdo Efectivo.

09/03/2025

Por Lara Angelina En algún momento, ya sea al firmar un contrato, durante una negociación, en el día a día con empresas o al compartir datos con otros, seguramente has tenido que brindar información que consideras sensible y te has planteado cómo protegerla.En esta...

Personajes de Ficción: Cuando la Creatividad Desafía los Límites Legales

Personajes de Ficción: Cuando la Creatividad Desafía los Límites Legales

09/03/2025

Por Juan Massa Un personaje de ficción en principio no tiene existencia autónoma por fuera de la obra que protagoniza o de la que forma parte. No obstante, son muchos los casos en los que, por las características del personaje o por la popularidad de la obra, estos...

« Entradas más antiguas