La gestión de riesgos de cumplimiento con enfoque en valores organizacionales: Aplicación en un caso de estudio en Cuba

Compliance risk management with a focus on shared values: Application in a case study in Cuba

(*)Juan Antonio Plasencia Soler; (**)Anna Bajo Sanjuán; (***)Fernando Marrero Delgado; (****)Miriam Nicado García

(*)Universidad de las Ciencias Informáticas
La Habana, Cuba
juanps@uci.cu

(**)ESIC Business & Marketing School, Pozuelo de Alarcón
Madrid, España
anna.bajo@esic.university

(***)Universidad Central de Las Villas
Santa Clara, Villa Clara, Cuba
fmarrero@uclv.edu.cu

(****)Universidad de La Habana
La Habana, Cuba
nicado@rect.uh.cu

Fecha de recepción: 13/06/2022 - Fecha de aprobación: 07/09/2022
DOI: https://doi.org/10.36995/j.visiondefuturo.2023.27.02.001.es

RESUMEN

Las organizaciones que aspiran obtener resultados a largo plazo deben gestionar correctamente el cumplimiento con las leyes, reglamentos, códigos, estándares internacionales y mejores prácticas relacionadas con la ética y expectativas de la sociedad. La presente investigación tiene como objetivo desarrollar un procedimiento para la gestión de riesgos de cumplimiento con enfoque en valores organizacionales. El artículo incluye las principales etapas del análisis tradicional de riesgos: análisis del contexto organizacional, identificación de las obligaciones, evaluación y valoración de los riesgos de cumplimiento y el tratamiento de estos a través de planes de acciones. Como principal novedad, los autores incluyen una herramienta que permite integrar los elementos del contexto, con las obligaciones identificadas, sus riesgos asociados y los valores éticos compartidos por la organización, denominada mapa CORVAL. Los resultados de la implantación en el proceso de Producción de Servicios Informáticos en una entidad cubana permiten identificar como principales riesgos: las relaciones contractuales ilícitas, el desconocimiento del código de conducta por parte de los trabajadores, las afectaciones al prestigio de la organización y altos índices de consumo de energía eléctrica, identificándose el valor compartido Responsabilidad y su comportamiento asociado, como el principio más influyente en la mitigación de los riesgos de cumplimiento del proceso.

PALABRAS CLAVE: Cumplimiento normativo; Riesgo de cumplimiento; Gestión de riesgos; Valores organizacionales.

ABSTRACT

Organizations that aspire to obtain long-term results must correctly manage compliance with laws, regulations, codes, international standards and best practices related to ethics and society's expectations. This research aims to development a procedure to  manage compliance risks with a focus on organizational values. The paper includes the main stages of traditional risk analysis: analysis of the organizational context, identification of obligations, evaluation and assessment of compliance risks and their treatment through action plans. As the main novelty, the authors include a tool that allows the integration of the elements of the context, with the identified obligations, their associated risks and the ethical values shared by the organization, called CORVAL map. The results of the implementation of the procedure in the process of Production of Computer Services in an cuban entity allow to identify as main risks: illicit contractual relations, lack of knowledge of the code of conduct by the workers, affectations to the prestige of the organization and high rates of electric energy consumption, identifying the shared value Responsibility and its associated behavior, as the most influential principle in the mitigation of the risks of compliance of the process.

KEY WORDS: Compliance; Compliance risk; Risk management; Organizational values.

INTRODUCCIÓN

En las décadas de 1970 y 1980 los gobiernos promulgaron leyes para abordar una serie de problemas sociales relacionados con las prácticas financieras corruptas, la contaminación del medio ambiente, los peligros para la salud y la seguridad del trabajador, por solo mencionar algunas de las más relevantes.
El cumplimiento de estas leyes y normativas ha supuesto un desafío para la gestión desde que los gobiernos han impuesto regulaciones a las organizaciones. Como resultado, siempre ha existido algún tipo de “sistema” para el cumplimiento de lo normado, en que las empresas, desarrollan procesos internos capaces de garantizar que se cumplen con las normas y regulaciones planteadas (Coglianese & Nash, 2020).
En décadas más recientes, las organizaciones han formalizado la gestión para el cumplimiento de sus responsabilidades a medida que la complejidad de las regulaciones han aumentado, así como la de las operaciones y transacciones comerciales. Por otra parte, esta gestión se ha integrado a los programas y acciones que se ejecutan como parte de la cultura de la organización, trayendo consigo que ambos términos, ética y cumplimiento normativo (compliance, en idioma inglés), se integren y se complementen el uno con el otro.
La gestión de la ética y el cumplimiento normativo (con sus siglas ECM, del idioma inglés: Ethics and Compliance Management) se ha convertido en un tema importante y generalizado (Mitra et al., 2020) para que las organizaciones alcancen la sostenibilidad económica, social y medioambiental para todas las partes interesadas. La implementación de un ECM es parte de una reflexión moral y tiene una relevancia estratégica para las organizaciones (Chan & Ananthram, 2020).
Por otra parte, en la actualidad las empresas realizan sus operaciones ante la presencia de múltiples partes interesadas, valores divergentes y creencias en conflicto (Bhaumik et al., 2019; Singh & Delios, 2017)  por lo que se hace necesario que los elementos de la ECM combinen el cumplimiento normativo con un énfasis en el comportamiento ético.
Según Kreipl (2020), algunos de los elementos comunes de la ECM son los siguientes: la gestión de riesgos compliance; los sistemas internos y externos de información y comunicación; los sistemas de control interno; y el desarrollo de una cultura de cumplimiento.
La presente investigación aborda el primero de estos aspectos, la gestión de riesgos de cumplimiento. El riesgo suele definirse como el efecto de la incertidumbre sobre los objetivos (International Organization for Standardization, 2018), mientras el riesgo de cumplimiento está asociado a la probabilidad de ocurrencia y las consecuencias del incumplimiento de los requisitos que una organización debe cumplir obligatoriamente o decide cumplir voluntariamente (International Organization for Standardization, 2021).
Ferrell et al. (2015) expresan que las organizaciones transforman una cultura inicialmente más orientada a las reglas, es decir, centrada en el cumplimiento, en una basada más en los valores. Y es que la gestión de cumplimiento debe abordarse con un conjunto bien definido de valores compartidos (Bussmann & Niemeczek, 2019) y una dirección que se considere que implementa y respeta estos valores. La integración del enfoque de valores a la gestión de riesgos de cumplimiento en una organización, suponen el aporte fundamental que realiza el presente artículo.
La presente investigación tiene como objetivo desarrollar un procedimiento para la gestión de riesgos de cumplimiento con enfoque en valores compartidos, tomando como caso de estudio una organización cubana. En un primer acápite se realiza una fundamentación teórica sobre la gestión de riesgos de cumplimiento normativo y el enfoque de valores organizacionales. En un segundo apartado se exponen los pasos y métodos utilizados en la investigación. Luego se destacan los principales resultados de la aplicación del procedimiento en una organización cubana, seleccionada como caso de estudio. Finalmente se enuncian las conclusiones del estudio.

Marco conceptual

En este apartado se desarrolla un breve marco conceptual donde se abordan las principales definiciones asociadas a la gestión de riesgos de cumplimiento y los pasos para llevarla a cabo, así como abordar los valores organizacionales y sus principales conceptos.

La gestión de riesgos de cumplimiento

La gestión de riesgos es definida como el conjunto de actividades coordinadas para dirigir y controlar la organización con relación al riesgo (International Organization for Standardization, 2018) reduciendo o mitigando sus efectos negativos (Society of Corporate Compliance and Ethics, 2022). Las etapas más comunes de la gestión de riesgos son la determinación del contexto, la evaluación y el tratamiento de los riesgos (Dvorsky et al., 2021; Sánchez et al., 2022).
Por otra parte, el cumplimiento normativo se refiere a la adhesión a las leyes y reglamentos aprobados por los órganos reguladores oficiales, así como a los principios generales de la conducta ética de una organización (Society of Corporate Compliance and Ethics, 2022). El compliance se sostiene al integrarlo a la cultura de una organización, así como en el comportamiento y la actitud de los trabajadores.
La gestión de riesgos de cumplimento no difiere en su implementación de la gestión de otros riesgos (Puteri Nur Farah Naadia & Khairuddin, 2021), es necesario tener en cuenta los objetivos estratégicos y operativos de la organización (Brondolo et al., 2022), su contexto interno y externo, así como la utilización de las técnicas para su evaluación y tratamiento (Krepysheva et al., 2020).
Los autores Ferreira de Araújo Lima et al. (2020) enuncian cuatro tipos de riesgos: financieros, de seguridad, riesgos operativos y estratégicos, incluyendo en estos aspectos relacionados con el cumplimiento de las obligaciones de las organizaciones. Ramakrishna (2015) propone una clasificación para los riesgos de cumplimiento: riesgo de integridad, riesgo comercial, riesgo de reputación, riesgo regulatorio; riesgo de interpretación; riesgo legal; riesgo de litigio; y riesgo de pérdida financiera, no obstante, Krepysheva et al. (2020) consideran que este tipo de divisiones está vagamente estructurada, debido a que un mismo riesgo de cumplimiento pudiera ser catalogado en varias de las clasificaciones anteriores.
Los riesgos de cumplimiento abarcan un amplio espectro y pueden estar asociados a la privacidad y protección de los datos, seguridad de la información, uso de las redes sociales, o la ciberseguridad. En temas de gobierno, se deben tener en cuenta riesgos relacionados con los conflictos de intereses con terceros o la corrupción, aspectos que se busca mitigar mediante el código de ética y de conducta.
A nivel operativo, otros riesgos a considerar son la violación de la propiedad intelectual, la seguridad y salud del trabajo, la protección del consumidor, la seguridad del producto, o el comercio. Todo ello, además de un largo etcétera en el que cabe destacar los riesgos medioambientales.
Una vez identificados los riesgos normativos, cabe evaluarlos para conocer cuán probable es que sucedan y qué impactos pueden generar tanto en la empresa como en los grupos de interés. Según un estudio realizado por Weber y Wasieleski (2013) las organizaciones usan la evaluación de riesgos de cumplimiento normativo fundamentalmente con cuatro propósitos: identificar áreas de preocupación antes de que se vuelvan problemas, detectar fraudes, cumplir con requisitos legales y evaluar la efectividad de sus sistemas de información.
El riesgo se expresa con frecuencia en términos de fuentes de riesgo, elemento que tiene el potencial de generar riesgo; eventos potenciales, conjunto particular de circunstancias; sus consecuencias, resultado de un evento que afecta los objetivos u obligaciones; y sus probabilidades, posibilidad de que algo suceda (International Organization for Standardization, 2018), pero los autores consideran que una categoría poco explorada, y que debe ser tenida en cuenta en el proceso de gestión de riesgos, es su relación con los valores compartidos de una organización.

Los valores organizacionales

Las organizaciones comúnmente definen desde su planificación estratégica un conjunto de valores organizacionales, con la finalidad de que establezcan una guía para el proceso de toma de decisiones para alcanzar los objetivos estratégicos (Gabel-Shemueli et al., 2013) constituyan fuente de motivación (Gaete Quezada y Gaete Quezada, 2020) y mejoren el comportamiento de los trabajadores en su desempeño laboral (Montañez-García, 2017).
Los valores organizacionales pueden definirse como la idealización de la experiencia colectiva de éxito en el uso de cierta habilidad y la transfiguración emocional de creencias previas (Gagliardi, 1986), jerárquicamente organizadas (Alves y Carvalho, 2021) que orientan la conducta humana y que se concretan en acciones y comportamientos de las personas (Rokeach, 1973) en el entorno laboral (Díaz Chica et al., 2019). El concepto de valor recoge cinco características esenciales: son percepciones o creencias; relaciona acciones deseadas y el estado final de la conducta; transciende a situaciones específicas; guía la elección o evaluación de comportamientos; y se pueden ordenar de acuerdo a su importancia relativa  (Bolzan-de-Campos, 2018).
A decir de Dolan y Altman (2012) las organizaciones deben considerar cuatro tipos de valores, éticos-sociales (modo en el que la gente se comporta y relaciona en un entorno), económicos (aseguran la supervivencia organizacional en un entorno competitivo), de desarrollo emocional (relacionado con la motivación intrínseca de las personas) y espirituales (capaces de alinear a los otros valores instrumentales). Por otra parte, los valores permiten adecuar las normas y controles establecidos por los individuos (Barrios-Pineda, 2018) por lo que es posible a través de su definición, comunicación, e integración, reducir el efecto de la incertidumbre sobre los requisitos que una organización debe cumplir obligatoriamente o voluntariamente (ver Fig. Nº 1).


Figura 1
La influencia de los valores organizaciones sobre los riesgos de cumplimiento


Nota. Elaboración propia

Por lo analizado en este epígrafe, los autores de la investigación consideran que los valores éticos juegan un papel fundamental en la mitigación de los riesgos de cumplimiento en una organización, y este es un aspecto poco abordado en la literatura científica consultada, por lo que en el siguiente apartado se expone un procedimiento que integra a la gestión de riesgos normativos tradicional, el enfoque de valores compartidos.

DESARROLLO

En este apartado se describe la metodología empleada para el estudio de caso; el procedimiento para la gestión de riesgos con enfoque de valores compartidos, teniendo en cuenta los aspectos y consideraciones estudiadas en el epígrafe anterior y las propuestas de instrumentos internacionales, tales como la Norma Internacional ISO 37301:2021 sobre los Sistemas de Gestión del Cumplimiento y la Norma Internacional ISO 31000: 2018 sobre la Gestión de Riesgos. Luego se muestran los principales resultados de la aplicación del procedimiento en el proceso de Producción de Servicios Informáticos en una entidad cubana.

Metodología

En la investigación se realiza un estudio de caso, teniendo un enfoque descriptivo, debido a que se reflejan las evaluaciones de los riesgos de cumplimiento. Los autores, primeramente, se seleccionan una organización de las Tecnologías de la Información y las Comunicaciones en Cuba. Luego se decide aplicar un procedimiento para la gestión de riesgos de cumplimiento. Para el desarrollo del procedimiento se emplean métodos cualitativos tales como, el análisis de fuentes primarias y secundarias y el método de expertos. Además, se emplean métodos cuantitativos para la evaluación de los riesgos a través de un índice de criticidad. Seguidamente se muestran los principales resultados del empleo de los métodos y finalmente se resumen las propuestas de mejoras.

Procedimiento para la gestión de riesgos con enfoque de valores compartidos

El procedimiento pondera el enfoque en los valores compartidos de la organización, a partir de su integración a la gestión de riesgos de cumplimiento, a través de la confección del mapa CORVAL (siglas asociadas a las palabras: Contexto, Obligaciones, Riesgos, Valores) para contribuir a la mitigación de los riesgos identificados en los procesos. En la Fig. Nº 2 se muestra la secuencia de etapas.


Figura 2
Procedimiento para la gestión de riesgos de cumplimiento con enfoque en valores organizacionales

Nota. Elaboración propia

En las entidades cubanas la gestión de riesgos es responsabilidad de la alta dirección, a través del Comité de Prevención y Control de la empresa, que representa un órgano asesor y está presidido por la máxima autoridad de la organización. No obstante, suelen existir departamentos o grupos de trabajo para el Control Interno, quienes guían esta actividad metodológicamente. Para los efectos de la investigación y posible generalización de este procedimiento, denominaremos equipo de trabajo, al grupo, departamento o dirección encargado de la gestión de los riesgos en la organización. A continuación, se describen los pasos que conforman el procedimiento.

Paso 1. Determinación del contexto de la organización

El equipo de trabajo debe determinar las cuestiones que son relevantes para alcanzar sus propósitos y que afectan su capacidad para lograr los resultados previstos y llevarlas a la aprobación del Comité de Prevención y Control de la organización. La determinación del contexto se puede dividir en el análisis de los factores externos -culturales; políticos, económicos, sociales, tecnológicos, ecológicos y legales- y factores internos -procedimientos, políticas, procesos y recursos-. En esta actividad también deben ser identificadas las partes interesadas y sus requerimientos, a través de la elaboración de un mapa de materialidad.
En la determinación del contexto interno, es importante la identificación de los principales procesos de la organización, lo que permitirá luego asociar las obligaciones y riesgos de cumplimiento normativo a estos procesos, comúnmente clasificados en estratégicos, claves y de soporte.
Se sugiere para determinar el contexto externo utilizar el análisis PESTEL; mientras para el contexto interno se recomienda utilizar métodos para la obtención de información, tales como entrevistas, análisis de informes de balance o resultados de periodos anteriores y consulta de documentos.
Los datos obtenidos en este paso permiten conocer el contexto legal y regulatorio, la situación económica, social, cultural, la estructura interna y los procesos, así como aspectos de la estrategia y la naturaleza del negocio objeto de estudio, lo que es necesario para determinar las obligaciones de cumplimiento.

Paso 2. Identificación de las obligaciones de cumplimiento

El equipo de trabajo a partir del análisis del contexto de la organización, realizado en el paso anterior, tiene la responsabilidad de identificar las obligaciones y llevarlas igualmente a la aprobación del Comité de Prevención y Control.
Estas obligaciones provienen de normas y resoluciones relevantes para la organización y el sector al que pertenece; reglas o guías emitidas por agencias regulatorias; tratados, convenios y protocolos; acuerdos con grupos de la comunidad; compromisos ambientales; leyes y decretos ley, entre otros. Por otro lado, desde una visión interna, se analizan las políticas, códigos, normas, así como otras obligaciones que rigen el comportamiento de la organización.
En este paso es muy importante identificar los valores organizacionales.  Es común que las organizaciones tengan identificados un grupo de creencias o valores organizacionales, por lo que el equipo de trabajo tomará estos para continuar con el análisis, pero sino estuviesen definidos, o fuese interés de la máxima dirección redefinirlos, se realiza a través de las actividades siguientes.
Primero se deben diagnosticar las creencias básicas de los miembros de la organización, lo que comúnmente se realiza a través de un cuestionario. Luego se debe establecer un orden o importancia de los valores seleccionados, por ejemplo utilizando un grupo de expertos para que otorguen una prioridad a los valores identificados, es importante, en este paso, contar con la aprobación de la alta dirección de la entidad. Por último, se deben operacionalizar cada uno de los valores para un mejor entendimiento entre los trabajadores.
Es necesario disponer de vías de comunicación que identifiquen novedades y modificaciones en las obligaciones para asegurar la actualización de las mismas para la organización. La participación y organización de eventos, presencia en las redes sociales, las relaciones con los medios de comunicación, la suscripción a revistas y gacetas de agencias reguladoras del territorio, la participación o instrumentación de observatorios de compliance, así como la aplicación de cuestionarios, pueden ser algunos de los canales de comunicación a emplear por la entidad.

Paso 3. Evaluación de riesgos de cumplimiento

La evaluación del riesgo incluye las actividades de identificación, análisis y valoración del riesgo, las que se describen a continuación.
Primero, se procede a identificar los riesgos de cumplimiento normativo que se derivan de las obligaciones de la organización, valorando los efectos negativos resultantes del incumplimiento normativo. Si bien a menudo la normativa detalla las sanciones que conlleva aparejado su incumplimiento, es preciso realizar una valoración que vaya más allá, considerando los efectos que, además, pudieran producirse sobre la caída de ventas, el retroceso de posiciones en los índices de reputación, empeoramiento de la imagen de marca, pérdida de apoyo por parte de prescriptores. Tal y como anteriormente quedó señalado para las obligaciones, también los riesgos estarán asociados a los procesos.
La segunda actividad corresponde a la evaluación del riesgo. Éste puede ser estudiado a través de las posibles consecuencias, la probabilidad de ocurrencia y la dificultad de detección (Sánchez et al., 2021). Los autores proponen utilizar una escala ordinal, tal y como muestra la Tabla Nº 1.


Tabla 1
Escala de evaluación de los riesgos

Nota. Elaboración propia

Por último, se realiza la valoración del riesgo a través de un índice de criticidad del riesgo tal y como muestra la ecuación 1:

Donde:
: Probabilidad de ocurrencia del riesgo de cumplimiento (i).
: Consecuencias sobre las obligaciones del riesgo de cumplimiento (i).
: Posibilidad de detección del riesgo de cumplimiento (i).

Finalmente, los riesgos de cumplimiento pueden ser evaluados teniendo en cuenta la escala ordinal que se propone en la Tabla Nº 2.

Los autores establecen la clasificación de riesgos triviales, en función de investigaciones anteriores, consulta con expertos, y el análisis de los resultados de aplicaciones anteriores del procedimiento.

Tabla 2
Escala de evaluación de los riesgos según su índice de criticidad

Nota. Adaptado de Joshi y Singh (2017) y Laszcz-Davis (2019).

En el caso de los riesgos de cumplimiento evaluados como triviales, tomando como referencia un límite de , no es necesario intervención alguna por la dirección, salvo que la mejora pueda ser introducida de manera sencilla y favoreciese a mejorar aspectos de calidad del proceso (Hernández-Oro, 2015).
Los riesgos con evaluaciones superiores al límite ) se les deben asignar acciones de control y comportamientos asociados a los valores organizacionales, hasta tanto el índice de criticidad sea menor que el límite definido.

Paso 4. Confección del mapa CORVAL

En esta etapa se pretende integrar todos los elementos definidos en las etapas anteriores en una única herramienta, lo que permitirá vincular las acciones de mitigación de los riesgos de cumplimiento con los comportamientos asociados a los valores organizacionales definidos. Esta técnica, diseñada por los autores, constituye la principal novedad del procedimiento que se propone en el presente artículo, debiendo ser aplicada con anterioridad a la elaboración de los programas para el tratamiento de los riesgos.
El mapa CORVAL, permite relacionar el contexto de la organización (C) a las obligaciones de la organización (O), a estos compromisos sus riesgos (R) y a los posibles valores compartidos que pueden mitigarlos o reducirlos (VAL). En la Fig. Nº 3 se muestra el esquema para el diseño de este tipo de instrumento.


Figura 3
Esquema diseñado para la elaboración del mapa CORVAL


Nota. Elaboración propia

Paso 5. Implementación de planes para el tratamiento de los riesgos de cumplimiento

Los riesgos con evaluaciones superiores al límite se les deben asignar acciones de control e intencionar los comportamientos asociados a los valores organizacionales, hasta tanto el índice de criticidad () sea menor que el límite definido.
La alta dirección de la organización debe promover a todos los niveles de la organización, la toma de decisiones sobre la base de los valores organizacionales, intencionado los comportamientos, definidos en la operacionalización del valor, que permitan al mismo tiempo mitigar los riesgos de cumplimiento.
Partiendo del mapa CORVAL, los autores proponen la elaboración de programas de acciones para el tratamiento de los riesgos a partir de los valores organizacionales identificados, lo que permite integrar en un solo programa, las acciones de propuestas y los comportamientos, junto a otros elementos de este tipo de planes, tales como: los recursos necesarios, los plazos previstos para la realización de las acciones y las personas responsables, tanto de la aprobación, como de su implementación.

Paso 6. Control y mejora continua

En la medida que se apliquen los planes para el tratamiento de los riesgos de cumplimiento, por cada proceso se deberán reevaluar los nuevos valores de ocurrencia, consecuencias y detección de los riesgos.
Los autores proponen calcular el índice de criticidad residual del riesgo de cumplimiento (), sustituyendo en la segunda ecuación, los valores residuales de la probabilidad de ocurrencia, las consecuencias y la posibilidad de detección de los riesgos. Esto permite valorar el impacto de las acciones y comportamientos propuestos para mitigarlos. Luego se trazan acciones de mejora sobre la base de los resultados de los índices de criticidad residual de los riesgos de cumplimiento. En el proceso de mejora continua se deben tener en cuenta cambios en el contexto y por consiguiente en las obligaciones de la organización.

Aplicación del procedimiento en un caso de estudio en cuba

En este apartado se muestran los principales resultados de la aplicación del procedimiento para la gestión de riesgos de cumplimiento con enfoque en valores organizacionales, tomando como caso de estudio una organización de las Tecnologías de la Información y las Comunicaciones en Cuba.
En la determinación del contexto se identifican los procesos de la organización, siendo un proceso clave: Producción de Servicios Informáticos. Los autores de la investigación seleccionan este proceso para mostrar en esta investigación los principales resultados de la aplicación del procedimiento.
Seguidamente se identifican las obligaciones de cumplimiento de la organización y los valores organizacionales. En el caso específico de la organización objeto de estudio, tiene identificado los valores organizacionales, su conceptualización y sus modos de actuación, lo que son utilizados por el equipo de trabajo para la presente investigación (véase Tabla Nº 3).

Tabla 3
Valores organizacionales y su conceptualización

Nota. Elaboración propia

Las obligaciones resultantes del análisis del contexto y los riesgos de cumplimiento identificados en el proceso de Producción de Servicios Informáticos se muestran en la Tabla Nº 4.

Tabla 4
Obligaciones y riesgos de cumplimiento del proceso de Producción de Servicios Informáticos

Nota. Elaboración propia

Luego se procede a la evaluación de los riesgos. La Fig. Nº 4 muestra un análisis preliminar según la evaluación de expertos sobre las consecuencias y la probabilidad de ocurrencia de los riesgos identificados en el proceso.

Esta técnica permite clasificar como extremo a siete de los riesgos identificados, siendo, el incumplimiento de los derechos de los consumidores, el riesgo con mayor ponderación.

Figura 4
Matriz consecuencia y ocurrencia en el proceso de Producción de Servicios Informáticos

Nota. Elaboración propia

Los valores emitidos por los expertos sobre la ocurrencia, las consecuencias y detectabilidad de los riesgos, permiten priorizar y evaluar a través del índice de criticidad los riesgos identificados. Ocho de los riesgos identificados son clasificados como críticos para el proceso, uno moderado y dos marginales. De entre todos, los riesgos de cumplimiento más relevantes han resultado ser: relaciones contractuales ilícitas y desconocimiento del código de conducta por parte de los trabajadores (Tabla Nº 5).

Tanto la matriz de consecuencia y probabilidad, como el  indican que los 11 riesgos deben ser tratados.

Tabla 5
Riesgos de cumplimiento normativo del proceso de Producción de Servicios Informáticos

Nota. Elaboración propia

Previamente a la elaboración de las acciones para el tratamiento de los riesgos se confecciona el mapa CORVAL, teniendo en cuenta el contexto analizado, las obligaciones y riesgos identificados, y los valores compartidos de la organización objetivo de estudio (véase Fig. Nº 5).


Se puede observar desde el punto de vista externo una variedad en las normas y resoluciones que rigen el proceso de Producción de Servicios Informáticos. Por otra parte, de los cinco valores organizacionales que afectan o pueden mitigar los riesgos, en este proceso específicamente, tiene mayor relevancia el valor Responsabilidad, debido a su influencia en todos los riesgos definidos del proceso. Lo anterior, significa que, si los trabajadores cumplen con sus obligaciones individuales y sociales, siendo consecuentes con sus modos de actuación, se contribuye significativamente a mitigar los riesgos del proceso.

Figura 5
Mapa CORVAL para el proceso de Producción de Servicios Informáticos


Nota. Elaboración propia

Teniendo en cuenta el mapa que relaciona el contexto, obligaciones, riesgos y valores organizacionales, se define para el proceso un programa, que incluye entre otros aspectos un plan de acciones para tratar y mitigar los riesgos evaluados anteriormente. En la Tabla Nº 6 se expone una muestra de los riesgos de cumplimiento y las acciones de control para su tratamiento pertenecientes a uno de los programas asociados al valor compartido Responsabilidad en el proceso objeto de estudio.


Durante la implementación se realiza el seguimiento y control de los planes para el tratamiento de los riesgos de cumplimiento. Para valorar el impacto de las acciones y comportamientos propuestos para mitigar los riesgos se calcula el índice de criticidad residual del riesgo de cumplimiento (). La Fig. 6 muestra la variación del índice de criticidad del riesgo de cumplimiento normativo en el proceso de Producción de Servicios Informáticos.


Tabla 6
Riesgos de cumplimiento normativo asociados al valor Responsabilidad del proceso de Producción de Servicios Informáticos

Nota. Elaboración propia

El análisis de este índice, muestra una disminución de sus niveles de criticidad en los 11 riesgos de compliance tratados. No obstante, siete riesgos deberán continuar siendo atendidos por la alta dirección de la organización, donde destacan: las relaciones contractuales ilícitas, el desconocimiento del código de conducta por parte de los trabajadores, y las afectaciones al prestigio de la organización.

Figura 6
Variación del índice de criticidad del riesgo de cumplimiento

Nota. Elaboración propia

El plan de acciones de mejora del proceso deberá no solo incluir estos siete riesgos con índice de criticidad mayores e iguales al valor mínimo propuesto en el procedimiento, sino también incorporar en el análisis nuevos riesgos determinados a partir del análisis del contexto y las nuevas obligaciones identificadas. Este plan de acciones, así como la implementación del procedimiento en otros procesos y organizaciones son resultados que serán mostrados por los autores en próximas investigaciones.

CONCLUSIONES

Los valores instrumentales o compartidos forman parte de los proyectos estratégicos de las organizaciones, son definidos y llevados a la práctica a través del comportamiento, en primer lugar, de la alta dirección de la entidad, y deben guiar los procesos de toma de decisiones a todos los niveles. Los riesgos pueden ser considerados amenazas u oportunidades para el cumplimiento de los objetivos u obligaciones de las empresas, por lo que determinado comportamiento o modo de actuación puede influir, no solo en el cumplimiento de un objetivo, sino también en la mitigación o no del riesgo detectado.
La gestión de riesgos de cumplimiento con enfoque en valores propone mitigar los riesgos, no solo a través de acciones de control, como se realiza actualmente, sino incorporando además los valores compartidos, teniendo en cuenta los modos de actuación de los trabajadores de los procesos, y este es el principal aporte de la investigación que se presenta. Los autores proponen una herramienta denominada mapa CORVAL -diseñada ad hoc para esta investigación-, que permite integrar las obligaciones al contexto de la organización para, a continuación, asociar a éstas riesgos y valores compartidos.
Los resultados de la implantación del procedimiento en el proceso de Producción de Servicios Informáticos en una entidad de las Tecnologías de la Información y las Comunicaciones permiten identificar como principales riesgos: las relaciones contractuales ilícitas, el desconocimiento del código de conducta por parte de los trabajadores, las afectaciones al prestigio de la organización y altos índices de consumo de energía eléctrica. Por otra parte, el valor compartido Responsabilidad y su comportamiento asociado, se identifica como el principio más influyente en la mitigación de los riesgos de cumplimiento del proceso. En la medida que los trabajadores cumplan con sus obligaciones individuales y sociales de manera oportuna y eficiente, contribuirán a mitigar los riesgos identificados en el proceso.

Futuros trabajos pudieran estar dirigidos a implementar el procedimiento en otras entidades del sector de las tecnologías y las comunicaciones, así como entidades de otros sectores estratégicos del país, permitiendo la generalización de los métodos propuestos en presente investigación. Por otra parte, sería conveniente la introducción del enfoque de valores en la gestión de otros tipos de riesgos, como los estratégicos y operativos, y comparar luego los resultados con la presente investigación.

RESUMEN BIBLIOGRÁFICO

Juan Antonio Plasencia Soler
Profesor Titular de la Universidad de las Ciencias Informáticas y Doctor en Ciencias Técnicas Universidad Tecnológica de La Habana José Antonio Echeverría. Desde el año 2003 imparte docencia de pregrado y postgrado en la UCI. Actualmente investiga en temáticas relacionadas con la ética empresarial, la responsabilidad social corporativa, la sostenibilidad, los métodos multicriterio para la toma de decisiones y los métodos para el análisis de riesgos y su criticidad.

Anna Bajo Sanjuán
Doctora en Gestión Empresarial por la Universidad Pontificia Comillas, Profesora de dedicación plena en ESIC Universidad (Madrid, España), donde también es Directora de Sostenibilidad. Dirige, asimismo, el Grupo de Investigación ETHIS (Ética de la Inversión Sostenible) desde donde investiga las diversas palancas que aceleran la transición hacia la sostenibilidad en las empresas. Actualmente, se encuentra realizando una estancia de investigación en la Universidad de York (Reino Unido) dentro del grupo de Equality, Justice and Ethics, de la School for Business & Society.

Fernando Marrero Delgado
Profesor Titular y Doctor en Ciencias Técnicas en la Universidad Central “Marta Abreu” de las Villas (UCLV). Desde el año 1992 imparte docencia de pregrado y postgrado en la UCLV. Actualmente investiga en temáticas relacionadas la ética empresarial, la responsabilidad social corporativa, la sostenibilidad corporativa, los métodos multicriterio para la toma de decisiones, logística empresarial y cadenas de suministro, gestión de riesgos y sistemas de control interno.

Miriam Nicado García
Doctora en Ciencias Matemáticas. Profesora Titular. Ha impartido conferencias en áreas matemáticas y pedagógicas en universidades de México, Colombia, Chile, Venezuela, República Dominicana y Ecuador. Realizó estancia de investigación en la Universidad Libre de Bruselas. Posee publicaciones y participaciones en eventos científicos nacionales e internacionales. Actualmente es Rectora de la Universidad de La Habana.

REFERENCIAS BIBLIOGRÁFICAS

1.Alves, S. S., & de-Carvalho, V. D. (2021). Discutiendo la adecuación de las escalas de mediación de valores al contexto de instituciones sin fines de lucro: un análisis del inventario de perfiles de valores organizacionales. REAd. Revista Eletrônica de Administração, 26(3), 739–764. https://doi.org/10.1590/1413-2311.301.101843
2.Barrios-Pineda, R. E. (2018). Cultura y Valores Organizacionales Emergentes en la Gerencia Transcompleja. Revista Scientific, 3(9), 214–232. https://doi.org/10.29394/Scientific.issn.2542-2987.2018.3.9.11.214-232
3.Bhaumik, S., Driffield, N., Gaur, A., Mickiewicz, T., & Vaaler, P. (2019). Corporate governance and MNE strategies in emerging economies. Journal of World Business, 54(4), 234–243. https://doi.org/10.1016/j.jwb.2019.03.004
4.Bolzan-de-Campos, C. (2018). Valores personales, valores organizacionales y medio ambiente: Una revisión teórica. Desenvolve Revista de Gestão do Unilasalle, 7(2), 75–93. https://doi.org/10.18316/desenv.v7i2.4415
5.Brondolo, J. D., Chooi, A., Schloss, T., & Siouclis, A. (2022). Compliance Risk Management: Developing Compliance Improvement Plans. International Monetary Fund. https://doi.org/10.5089/9798400205910.005.A001
6.Bussmann, K. D., & Niemeczek, A. (2019). Compliance Through Company Culture and Values: An International Study Based on the Example of Corruption Prevention. Journal of Business Ethics, 157(3), 797–811. https://doi.org/ 10.1007/s10551-017-3681-5
7.Chan, C., & Ananthram, S. (2020). A neo-institutional perspective on ethical decision-making. Asia Pacific Journal of Management, 37(1), 227–262. https://doi.org/10.1007/s10490-018-9576-x
8.Coglianese, C., & Nash, J. (2020). Compliance Management Systems: Do They Make a Difference? Social Science Research Network. https://papers.ssrn.com/abstract=3598264
9.Díaz Chica, Ó., Tapia Frade, A., & De Diego Vallejo, R. (2019). ¿Existe un prototipo de líder socialmente responsable en España? Cuadernos de Gestión, 19(2), 53–84. https://doi.org/ 10.5295/cdg.170843od
10.Dolan, S. L., & Altman, Y. (2012). Managing by values: The leadership spirituality connection. People & Strategy, 35(4), 20–27.
11.Dvorsky, J., Belas, J., Gavurova, B., & Brabenec, T. (2021). Business risk management in the context of small and medium-sized enterprises. Economic Research-Ekonomska Istraživanja, 34(1), 1690–1708. https://doi.org/10.1080/1331677X.2020.1844588
12.Ferreira de Araújo Lima, P., Crema, M., & Verbano, C. (2020). Risk management in SMEs: A systematic literature review and future directions. European Management Journal, 38(1), 78–94. https://doi.org/10.1016/j.emj.2019.06.005
13.Ferrell, O. C., Ferrell, L., & Sawayda, J. (2015). A review of ethical decision-making models in marketing. Edward Elgar Publishing. https://econpapers.repec.org/bookchap/elgeechap/14834_5f3.htm
14.Gabel-Shemueli, R., Yamada, G., & Dolan, S. (2013). Lo que vale el trabajo en el sector público: Estudio exploratorio del significado de los valores organizacionales en el sector público en Perú. Revista de Psicología del Trabajo y de las Organizaciones, 29(2), 83–90. https://doi.org/10.5093/tr2013a12
15.Gaete Quezada, R., & Gaete Quezada, R. (2020). Dirección por valores y responsabilidad social en universidades estatales chilenas. Revista Digital de Investigación En Docencia Universitaria, 14(1). https://doi.org/10.19083/ridu.2020.1073
16.Gagliardi, P. (1986). The creation and change of organizational cultures: A conceptual framework. Organization Studies, 7(2), 117–134. https://doi.org/10.1177/017084068600700203
17.Hernández-Oro, R. M. (2015). Contribución a la evaluación de la fiabilidad de proyectos de instalaciones y obras hidráulicas en empresas cubanas de investigaciones y proyectos de ingeniería [Tesis presentada en opción al grado científico de Doctor en Ciencias Técnicas]. Universidad Central “Martha Abreu” de las Villas.
18.International Organization for Standardization. (2021). ISO 37301:2021, Compliance management systems—Requirements with guidance for use. ISO. https://www.iso.org/obp/ui#iso:std:iso:37301:ed-1:v1:es
19.International Organization for Standardization. (2018). ISO 31000:2018, Risk management – Guidelines, provides principles, framework and a process for managing risk. International Organization for Standardization. https://www.iso.org/obp/ui/#iso:std:iso:31000:ed-2:v1:en
20.Joshi, C., & Singh, U. K. (2017). Information security risks management framework – A step towards mitigating security risks in university network. Journal of Information Security and Applications, 35, 128–137. https://doi.org/10.1016/j.jisa.2017.06.006
21.Kreipl, C. (2020). Compliance Management. In Verantwortungsvolle Unternehmensführung. Springer Gabler, Wiesbaden. https://link.springer.com/chapter/10.1007/978-3-658-28140-3_3
22.Krepysheva, А. М., Sergievskaya, А. А., & Storchevoy, М. А. (2020). Definition and measurement of risk in compliance management. Strategic decisions and risk management, 11(2), 150–159. https://doi.org/10.17747/2618-947X-2020-2-150-159
23.Laszcz-Davis, C. (2019). Enterprise Risk Management. En S. Z. Mansdorf (Eds.), Handbook of Occupational Safety and Health (pp. 381-423). Wiley Online Library.  https://doi.org/10.1002/9781119581482.ch12.
24.Mitra, N., Mukherjee, D., & Gaur, A. S. (2020). Mandated CSR in India: Opportunities, Constraints, and the Road Ahead. In B. B. Schlegelmilch & I. Szőcs (Eds.), Rethinking Business Responsibility in a Global Context (pp. 193-217). Springer. https://doi.org/ 10.1007/978-3-030-34261-6_12
25.Montañez-García, A. S. (2017). Liderazgo, cultura organizacional y cambio en la universidad. Revista de Educación de Puerto Rico (REduca), 32, 51–62. https://revistas.upr.edu/index.php/educacion/article/view/13923
26.Puteri Nur Farah Naadia, M. F., & Khairuddin, A. R. (2021). Shariah compliance risk management in the provision of wakaf-zakat housings. International Journal of Islamic Thought, 19, 102–109. https://doi.org/10.24035/IJIT.19.2021.200
27.Ramakrishna, S. (2015). Enterprise Compliance Risk Management: An Essential Toolkit for Banks and Financial Services. Singapore: John Wiley & Sons.
28.Rokeach, M. (1973). The nature of human values. Free Press.
29.Sánchez, Y. A., Jane, L. G., Soler, J. A. P., & Delgado, F. M. (2022). Sustainability Risk Management for Project-Oriented Organizations. In P. Y. Piñero Pérez, R. E. Bello Pérez, & J. Kacprzyk (Eds.), Artificial Intelligence in Project Management and Making Decisions (pp. 155–169). Springer International Publishing. https://doi.org/10.1007/978-3-030-97269-1_9
30.Sánchez, Y. A., Soler, J. A. P., & Delgado, F. M. (2021). Procedimiento para determinar el impacto de la gestión de riesgos en la sostenibilidad de las organizaciones. Dirección y Organización, 73, 39–49. https://doi.org/10.37610/dyo.v0i73.591
31.Singh, D., & Delios, A. (2017). Corporate governance, board networks and growth in domestic and international markets: Evidence from India. Journal of World Business, 52(5), 615–627. https://doi.org/10.1016/j.jwb.2017.02.002
32.Society of Corporate Compliance and Ethics. (2022). Compliance Dictionary. SCCE Official Site. https://www.corporatecompliance.org/publications/compliance-dictionary
33.Weber, J., & Wasieleski, D. M. (2013). Corporate Ethics and Compliance Programs: A Report, Analysis and Critique. Journal of Business Ethics, 112(4), 609–626. https://doi.org/10.1007/s10551-012-1561-6