Realizar una evaluación de riesgo no es una tarea fácil, pero tampoco se trata de ingeniería cuántica. Sin embargo, sigue un proceso que puede incluir componentes algo complejos, dependiendo de las decisiones y actividades adoptadas por una empresa.
Una empresa, por naturaleza, se vuelve más compleja a medida que se desarrolla. Cada decisión tomada por el consejo directivo o la gerencia busca alcanzar objetivos específicos, pero estas decisiones también generan eventos que pueden estar expuestos a peligros, incluido el riesgo legal.
Por lo tanto, es importante comprender que cuanto mayor control se tenga sobre los resultados de una decisión, habrá menos "suerte" y será más fácil cumplir con los objetivos establecidos por la alta dirección. Sin embargo, esto solo ocurrirá si se gestiona el riesgo, especialmente el riesgo legal.
No obstante, es importante aclarar que todo el proceso de evaluación de riesgo debe ser dinámico y ágil. La vida y continuidad de la empresa dependen de avanzar rápidamente, pero minimizando el impacto y teniendo conocimiento de los riesgos a los que podríamos enfrentarnos. Para lograr esto, es imprescindible el compromiso y la participación activa de la alta dirección de la empresa. De lo contrario, todo quedará en un documento bien formulado y bonito, pero que simplemente se guardará en un estante de la oficina.
¿POR DÓNDE INICIA UNA EVALUACIÓN DEL RIESGO -LEGAL?
Comprendamos de que toda empresa u organización tiene riesgos en su actividad puesto que ese riesgo por su propia naturaleza no se separará de la actividad y objetivos que desarrolla, es intrínseco totalmente; y a esto le debemos llamar riesgo inherente.
Es importante evaluar y comprender el riesgo inherente de una empresa o proyecto, ya que proporciona la base para determinar qué medidas de gestión de riesgos son necesarias.
¿Cómo vamos a saber cuál es el riesgo inherente?
Aquí es donde la evaluación de riesgos toma un papel fundamental. Aún existen empresas que no comprenden la importancia de este tipo de evaluaciones y creen que solo las actividades de alta complejidad requieren evaluar riesgos. Es más en ocasiones se cree que solo las grandes compañías son las que deben realizar estas evaluaciones. Sin embargo, los acontecimientos de los últimos años, tanto políticos, sociales, económicos como de salud, han demostrado lo contrario.
Para iniciar un buen proceso de evaluación, es crucial considerar el contexto en el que se desarrolla la actividad de la empresa. Por ejemplo, el contexto de un laboratorio clínico no será el mismo que el de un laboratorio farmacéutico. Aunque ambas cumplen con leyes y regulaciones generales de salud, existen regulaciones especiales que difieren y tendrán un impacto distinto en su actividad.
Además, el contexto de una empresa altamente enfocada en el comercio electrónico, con una plataforma de servicios en línea y clientes en todo el mundo, será diferente al de una empresa local que no cuenta con comercio electrónico y se dedica a la importación para su comercialización.
Al considerar el riesgo inherente, es necesario tener en cuenta tanto el contexto externo como el interno como punto de partida para la identificación y mitigación de riesgos. A partir de la evaluación de estos contextos, se podrán definir los criterios de riesgo legal que la empresa, sus actividades, contratos, proyectos o inversiones propuestas puedan enfrentar.
Es en estos criterios donde encontraremos las reglas para decidir cuándo tratar los riesgos que estamos identificando.
La norma ISO sobre Gestión de Riesgo Legal 31022 establece que las organizaciones deben considerar esta valoración y es el inicio de toda gestión correcta del riesgo legal.
Hablemos del Contexto para la identificación y mitigación de riesgos
¿Qué debemos entender por contexto externo?
Se refiere a los factores que están fuera de la empresa. ¿Cómo cuáles podrán ser estos factores? Pondré algunas que dice la norma y que considero oportuno prestar atención.
Leyes locales e internacionales y sus reformas.
Proveedores de servicio externo y los asesores que apoyan la gestión del riesgo legal; tales como, las firmas legales o auditores externos. Incluyo en este apartado los que gestionan externamente base de datos y realizan el tratamiento de dichas datos.
Las partes interesadas externos a la empresa: sociedad civil, gobiernos municipales, comunidad, prensa, medios, ahora redes sociales, entre otros.
Acuerdos internacionales que apliquen. Tratados de comercio. Por ejemplo, en el caso de algunos países de la región que ya no tienen relación con Taiwan, pero que sí había un acuerdo comercial que luego fueron denunciados, lógicamente cambió el panorama para las empresas que exportaban hacia la isla.
Condiciones de mercado
Acciones de reclamo por terceros
Legislación de los países donde se entrega o suministra un producto o servicio.
Hay que estar claros que como dice la norma se debe tomar en cuenta las múltiples jurisdicciones en las que opera una organización, las diferencias culturales, las diferentes jurisdicciones, la aplicación de leyes nacionales de forma extraterritorial, entre otras.
¿Por contexto interno qué debemos conocer?
En este punto, la norma nos proporciona una visión del contexto interno del riesgo legal, que está estrechamente vinculado al control de la empresa a través de su gobierno y sistemas de gestión. Por ejemplo, se hace referencia a:
La naturaleza legal de la empresa.
La salud financiera y su modelo de negocio.
Estructura interna y sus procesos, funciones.
El gobierno corporativo de la empresa, sus valores e integridad. Aquí cabe si tienen códigos de conducta, éticos y guías de Compliance que apliquen.
El estado actual de los asuntos legales de la organización y su acercamiento a una gestión del riesgo legal.
Experiencias pasadas e historial de litigios, disputas o eventos motivados por el riesgo legal de la empresa.
Los efectos de los derechos y obligaciones bajo contrato que posee la empresa
Temas de pasivo laboral, fiscales y otros.
Es fundamental tener una visión clara de todo lo que rodea a la empresa y de lo que sucede internamente en ella. El hecho de que no haya ocurrido ningún evento "grave" en su historia no garantiza la continuidad de la empresa, ¿no crees?
El hecho de que no haya ocurrido ningún evento "grave" en su historia no garantiza la continuidad de la empresa, ¿no crees?
Cuando comienzas a analizar el contexto en ambos sentidos, tanto externo como interno, puedes ver todo el panorama en el que te mueves, no solo una o dos situaciones aisladas que "surgieron de la nada". De esta manera, obtienes una comprensión más realista de la empresa y tomas decisiones más acertadas sobre cómo asignar los recursos económicos y, sobre todo, la energía tuya y de tus colaboradores.
Este proceso no ocurre de la noche a la mañana, pero siempre es un buen momento para iniciar una evaluación de riesgo legal.
El contexto da la información que necesitamos para poder establecer los criterios de riesgo que debe tener la empresa o el proyecto, incluso el contrato que se está realizando. Esa información es vital, y no basta con saberla, hay que trabajarla de la forma correcta para hacer el análisis que corresponda.