La gobernanza, la arquitectura central del compliance y la confianza
La gobernanza está en el centro de los sistemas de cumplimiento, es la pieza que sostiene la confianza.
26 marzo, 2026
3 min
En los últimos años, la evaluación de riesgos se ha consolidado como uno de los pilares fundamentales de los modelos de compliance. Sin embargo, la experiencia demuestra que no todas las evaluaciones de riesgos aportan el mismo valor ni generan el mismo nivel de protección real para la organización. En muchos casos, el ejercicio se queda en una representación formal —correcta desde un punto de vista documental—, pero insuficiente para entender cómo se materializan realmente los incumplimientos y qué debe hacerse para prevenirlos o detectarlos de manera eficaz.
Por ello, abordamos una de las lecciones aprendidas más recurrentes en trabajos de diseño, revisión y auditoría de modelos de cumplimiento: evaluar riesgos no es listar riesgos. Evaluar riesgos implica comprender eventos, definir con claridad qué se quiere proteger y asegurar que el sistema de control ofrece una cobertura razonable y coherente frente a los escenarios reales de exposición.
En numerosos modelos de compliance, la evaluación de riesgos se convierte en un ejercicio de inventario: se identifican riesgos por áreas o normativas, se les asignan probabilidades e impactos y se obtiene un mapa de calor que, visualmente, transmite una sensación de control. El problema es que, con frecuencia, ese resultado no garantiza que la organización haya entendido cómo se materializa realmente un incumplimiento, ni que haya definido con precisión qué pretende prevenir o detectar, condición indispensable para diseñar posteriormente controles adecuados.
El marco COSO – Internal Control–Integrated Framework es muy claro al respecto. La evaluación de riesgos debe partir de objetivos definidos con claridad y, a partir de ellos, identificar y analizar los riesgos que puedan afectar a su consecución. Además, exige incorporar explícitamente la consideración del fraude y de la mala conducta, así como identificar y evaluar los cambios significativos que puedan alterar el perfil de riesgo. En paralelo, la guía de Compliance Risk Management alineada con COSO ERM refuerza la necesidad de integrar la gestión de los riesgos de cumplimiento con la forma en que la organización define objetivos, mide desempeño y revisa su sistema de control.
Lección aprendida: especialmente habitual en grupos con múltiples filiales y entidades jurídicas: cuando no existe una metodología común, el mapa de riesgos puede ser formalmente correcto, pero conceptualmente inconsistente. Cada filial entiende el “riesgo” de forma distinta, aplica escalas diferentes y pondera criterios divergentes. El resultado es una visión fragmentada que dificulta la comparabilidad, ralentiza el reporting y, lo más relevante, genera zonas ciegas que impiden a la alta dirección y al órgano de gobierno tener una lectura clara y homogénea de la exposición real.
Para elevar el nivel de la evaluación —sin convertirla en un ejercicio excesivamente teórico— resulta clave incorporar dos conceptos que, cuando se utilizan correctamente, transforman el análisis: evento de riesgo y objetivo de control.
El evento de riesgo es la actividad a través de la cual se podría materializar de forma concreta el riesgo de incumplimiento. En un contexto de creciente presión regulatoria, expectativas más exigentes por parte de los grupos de interés y una evolución constante de los marcos normativos (como la ISO 37301 o la ISO 37000), muchas organizaciones se enfrentan al reto de transformar sus programas de cumplimiento en sistemas integrados, sostenibles y alineados con la estrategia corporativa. Hablar de eventos obliga a abandonar formulaciones genéricas y a describir escenarios realistas: quién puede actuar, cómo, en qué punto del proceso, con qué incentivos y aprovechando qué debilidades.
El objetivo de control es el resultado que debe asegurarse para prevenir o detectar el evento de riesgo. No es el control en sí, sino el propósito que este debe cumplir. Un objetivo de control bien formulado permite evaluar la razonabilidad de la cobertura: si el evento es plausible, ¿existen objetivos claros que, de cumplirse, reduzcan de forma lógica la probabilidad de que ocurra o permitan detectarlo a tiempo?
La secuencia evento de riesgo – objetivo de control – controles que dan cobertura es una de las prácticas que mejor funciona cuando se quiere pasar de un modelo formal y documentado a un modelo realmente operativo y eficaz.
Cuando el análisis no desciende a este nivel, suelen aparecer dos errores recurrentes:
COSO parte de una premisa esencial: las organizaciones definen objetivos —operativos, de reporting y de cumplimiento— y, para alcanzarlos, deben identificar y analizar las amenazas internas y externas que pueden impedir su consecución.
La evaluación de riesgos es un ejercicio directamente vinculado con la estrategia y el desempeño. En compliance, esta lógica se articula en tres niveles clave:
Lección aprendida: si no existe una metodología común para articular estas tres capas, el grupo acaba con mapas heterogéneos y difícilmente comparables. Esto es especialmente visible cuando el modelo de compliance se ha implantado por fases, en momentos distintos o con el apoyo de asesores diferentes, cada uno con su propio “idioma”. El resultado es un reporting lento, una visión global fragmentada y decisiones de dirección basadas en información parcial o inconexa.
Aunque los modelos de compliance giran en torno a delitos e incumplimientos, en la práctica muchos ejercicios de evaluación de riesgos no incorporan de forma explícita el análisis de fraude y mala conducta tal y como propone COSO. Esto implica que no siempre se analizan con suficiente profundidad tres factores críticos:
La experiencia demuestra que, cuando posteriormente emerge un incidente —una denuncia del canal ético, una imputación o una inspección— la organización se sorprende. Sin embargo, el verdadero valor está en utilizar ese hecho para verificar si el evento de riesgo estaba contemplado y si el objetivo de control definido era suficiente o, por el contrario, revelaba una brecha.
Una evaluación de riesgos madura no se alimenta únicamente de entrevistas y workshops. Debe integrar de forma sistemática otras fuentes de información especialmente valiosas:
La práctica demuestra que este aprendizaje no siempre se incorpora en la gestión del día a día. El incidente se gestiona, pero no siempre se traduce en una actualización del mapa de riesgos, en la identificación de nuevos eventos o en la revisión de los objetivos de control.
Lección aprendida: cuando un incidente real no se convierte en un evento de riesgo formalizado, el modelo no madura; simplemente reacciona.
COSO exige identificar y analizar los cambios significativos que puedan alterar el perfil de riesgo. En compliance, estos cambios no se limitan a reorganizaciones internas. Incluyen, entre otros:
Cuando la evaluación de riesgos es anual y ritual, no captura estos cambios a tiempo. Y cuando el negocio evoluciona más rápido que el modelo de compliance, la brecha se vuelve estructural.
La evaluación de riesgos de cumplimiento solo aporta valor real cuando deja de ser un ejercicio descriptivo y se convierte en una herramienta analítica que permite comprender cómo se materializan los incumplimientos y si la organización está razonablemente preparada para prevenirlos o detectarlos. Un mapa de riesgos robusto no se reconoce por su estética, sino por su capacidad de demostrar cobertura real.
Incorporar el análisis por eventos, definir con claridad los objetivos de control y utilizar de forma sistemática la información derivada de incidentes, denuncias y cambios relevantes transforma el mapa de riesgos en un verdadero instrumento de gobierno, supervisión y toma de decisiones. Este enfoque, plenamente alineado con COSO, no solo mejora la calidad técnica del modelo de compliance, sino que refuerza su utilidad práctica y su credibilidad ante la alta dirección y el órgano de gobierno.
Deja un comentario