RESUMEN
Matices diferenciadores entre riesgo legal y riesgo de cumplimiento bajo el estándar ISO 31022 de Gestión del Riesgo Legal
Ana Cruz demanda a la empresa Lácteos por utilizar sin autorización su imagen en una publicidad de la empresa. La empresa minera Bider es demandada por la filtración de datos personales de un colaborador. En estos casos, ¿nos encontramos ante riesgos de cumplimiento o riesgos legales materializados?, podríamos decir que ambos, solo que en su materialización el riesgo de cumplimiento antecede al riesgo legal.
Mientras que el riesgo legal tiene un enfoque en las consecuencias legales adversas que pueda sufrir la organización producto de acciones u omisiones, el riesgo de cumplimiento tiene un enfoque directo con la probabilidad de no cumplir las leyes o regulación aplicable, de aquí el primer matiz diferenciador.
El riesgo legal según el estándar ISO 31022-2020 de Gestión del Riesgo Legal se define como el “Efecto de la incertidumbre sobre los objetivos, como resultado de asuntos legales, y que tiene como regulatorios y contractuales, y de derechos extracontractuales y obligaciones”. Según el referido estándar, tiene como fin encontrar, reconocer y describir los riesgos legales que pueden ayudar o evitar que una organización logre sus objetivos. Para la gestión de este riesgo, es menester analizar la posibilidad de ocurrencia de demandas, litigios, sanciones, multas y cualquier otra consecuencia de índole legal que pueda tener un efecto negativo en la organización e inclusive en colaboradores de la organización, concentrandose en la sanción/consecuencia.
Por su parte, el estándar ISO 37301 de Sistemas de Gestión del Cumplimiento define el riesgo de cumplimiento como “Probabilidad de ocurrencia y las consecuencias del no cumplimiento de compliance respecto a las obligaciones de compliance de una organización”. Cuando hablamos de riesgos de cumplimiento nos efocamos en la adherencia al marco regulatorio, nos referimos a todo lo que puede ser incumplido y la debida gestión para la prevención de esto, con su centro en la prevención.
Un segundo matiz diferenciador reside en el origen del riesgo, mientras que el riesgo legal puede surgir de violación de derechos, responsabilidad civil o procesos legales e inclusive incumplimientos, el riesgo de cumplimiento se origina por una ausencia de cumplimiento con marco regulatorio externo e interno, que puede tener como causa raíz desde el desconocimiento hasta la sobrecarga de trabajo.
Un tercer matiz diferenciador es su alcance, mientras que el riesgo legal está limitado a la regulación de cumplimiento obligatorio como las leyes, la gestión de riesgos de cumplimiento alcanza además, todo el marco de autorregulación como políticas, procedimientos, códigos internos y no necesariamente de estos últimos se deriven consecuencias de índole legal, pues dependerá de cuál es el nivel de cumplimiento que haya sido transgredido. De ahí que, no siempre que se materialice un riesgo de cumplimiento habrá consecuencias legales, pero siempre que se materialice un riesgo legal habrá posibles consecuencias legales.
Y esto nos va abriendo el espacio para el gestor como cuarto matiz diferenciador. El área legal tradicional es la responsable de los procesos contractuales, de litigios y apoyo con trámites legales de carácter operativo y que ocupa gran parte de su tiempo apagando fuegos para evitar consencuencias legales adversas de manera reactiva. Sin embargo, el gestor de cumplimiento juega un papel estratégico, preventivo y orientador ¿que ha de servir de apoyo al área legal para su gestión y viceversa. Mientras que el gestor legal trabaja a requerimiento, el gestor de cumplimiento tiene un rol proactivo de acción en la organización. Son aliados naturales que con la debida armonización jugarían una suerte de pre y post compliance entre el gestor legal y el gestor de cumplimiento.
Un quinto matiz diferenciador reside en los controles, mientras que para el riesgo legal se aplican controles como contar con asesores legales, contratar póliza de seguros, gestionar riesgos contractuales, formar en leyes aplicables a su propia área. Para la gestión del riesgo de cumplimiento se aplican controles como creación de políticas de cumplimiento, auditorías de cumplimiento, alertas de cumplimiento, filtro de cumplimiento a proyectos, capacitación en políticas y procedimientos de cumplimiento.
Un sexto matiz diferenciador reside en el impacto del riesgo materializado. Un riesgo de cumplimiento puede no trascender fuera de la organización, un riesgo legal materializado siempre trascenderá las fronteras organizacionales, en mayor o menor proporción. Un riesgo legal materializado puede acarrear el cese de las operaciones, indemnizaciones, o la transformación de la organización mientras que un riesgo de cumplimiento materializado podrá tener igual de consecuencias pero no siempre.
De esto podemos concluir que, la gestión del riesgo legal es altamente necesaria en las organizaciones pero que requiere de un enfoque proactivo que ha de asumirse con mayor protagonismo en las organizaciones y mejor articulación con las áreas de cumplimiento para su eficacia. Por su parte la gestión del riesgo de cumplimiento ha de convertirse en parte de la cultura organizacional, pues como hemos sostenido, es la antesala de los riesgos legales que luego pueden tener una importante afectación en la reputación de la organización y permanencia en el tiempo.
Una buena gestión de riesgos de cumplimiento disminuirá las posibilidades de que el riesgo legal se materialice y la debida gestión del riesgo legal nutrirá por igual a la gestión de cumplimiento desde aspectos nodales como la correcta interpretación normativa para el debido cumplimiento. Es indispensable la comprensión de estos matices diferenciadores para la correcta articulación, armonización y efectividad en estos procesos organizacionales.
Autora: Tania de León, speaker, investigadora, docente y autora. Presidenta WCA-RD y Directora Cumplimiento, Lexi Consultores.