Gestión de Riesgos de Cumplimiento: Aplicación sobre el Marco COSO ERM

Juan Villanueva Chang

En noviembre último, la Organización COSO publicó esta guía que cubre un gran vacío. Respalda los objetivos de cumplimiento, así como en control interno contamos con la referencia del COSO 2013 y para la gestión de riesgos con el COSO ERM 2017. 

Con esta nueva guía se fortalece el objetivo de cumplimiento. Su objetivo es resaltar mediante 20 principios, al igual que los mencionados en los componentes del COSO ERM, aspectos que permitan identificar, evaluar y gestionar el riesgo de cumplimiento.

Los riesgos de cumplimiento suelen estar asociados con incumplimientos de estándares profesionales, políticas, normas, leyes en una organización (incluidos códigos de conducta y ética empresarial) y obligaciones contractuales.

En este sentido, se cambia el papel del oficial de cumplimiento para hacer más actividades que una simple validación de cumplimiento normativo. La nueva función de cumplimiento debe ayudar a las Gerencias de línea a comprender los riesgos de cumplimiento; debe liderar el desarrollo de un programa permanente de trabajo para mitigar y gestionar los riesgos de cumplimiento; evaluar la efectividad de la ejecución de su programa de trabajo; tener mayor liderazgo e informar directamente al CEO sobre las brechas en materia de cumplimiento, etc. 

En resumen, la gestión del riesgo de cumplimiento debe dar soporte como una unidad organizacional con profesionalismo e independencia, no debe estar ubicada dentro las unidades de Legal ni dependen de ninguna otra Gerencia que reporte a la Gerencia General.

Se requiere contar con un equipo especializado y competente para tener atribuciones similares a las que tiene Auditoría Interna en la Tercera Línea de Defensa; es decir reportar directamente el CEO; participar en los diversos comités de gestión emitiendo recomendaciones, respetando su independencia; desarrollando programas permanentes de evaluación de verificación de las conductas adversas en el tratamiento de los riesgos de cumplimiento en toda la organización, etc.

Indudablemente, es un nuevo reto para replantear en nuestras organizaciones el tratamiento de la gestión de riesgos de cumplimiento así como en los entes reguladores. 

¿Te ha gustado la información? ¡Compártela con otro auditor interno!