Documentos de Académico
Documentos de Profesional
Documentos de Cultura
EVALUACIÓN, TRATAMIENTO
Y MONITOREO
AUTORA: JIMENA ALGUACIL
CONTENIDO
INTRODUCCIÓN.................................................................................................................. 3
1. EVALUACIÓN DE RIESGOS.......................................................................................... 4
1.1. Cómo puedo hacer esta evaluación..........................................................................5
1.1.1. Evaluación de riesgos penales..........................................................................5
1.1.2. Evaluación de los controles...............................................................................6
1.2. Análisis y evaluación de idoneidad de los controles existentes en la actualidad
8
1.2.1. Evaluación de la efectividad y vulnerabilidad de los controles.....................9
2. MAPA DE RIESGOS......................................................................................................11
2.1. Metodología................................................................................................................. 12
3. VARIABLES DEL MAPA DE RIESGOS.......................................................................15
3.1. Impacto......................................................................................................................... 15
3.2. Probabilidad................................................................................................................. 16
4. REVISIÓN CONTINUA ................................................................................................19
4.1. Revisión sistemática.................................................................................................. 19
5. MONITOREO DE LOS RIESGOS................................................................................24
BIBLIOGRAFÍA...................................................................................................................26
2
INTRODUCCIÓN
3
01
EVALUACIÓN
DE RIESGOS
• La actividad empresarial de hoy se manifiesta en un entorno incierto y está
expuesta a un conjunto amplio de riesgos.
• Para conocer un riesgo es necesario conocer su causa, que es la que va a de-
terminar la existencia de este, y si puede afectar a la empresa o no.
• Los efectos o consecuencias de los riesgos pueden afectar a la empresa de
diversas formas.
• Clasificar estos efectos permite entender este aspecto de forma más precisa.
Una correcta evaluación nos permite determinar de una manera más exacta la ex-
posición de la empresa a un riesgo.
4
1.1. CÓMO PUEDO HACER ESTA EVALUACIÓN
Por riesgo penal:
Personas:
5
1.1.1. Evaluación de riesgos penales
Figura 4: Controles.
(Elaboración propia, 2021)
6
El siguiente paso será la identificación y valoración de los controles que
existen en la organización para prevenir, mitigar o evitar los riesgos.
En ocasiones, nos podemos encontrar con un control que esté bien diseñado,
pero su funcionamiento puede no ser eficaz debido a deficiencias en la
forma en que se está ejecutando. Asimismo, un control puede estar siendo
ejecutado correctamente, pero mal diseñado, por lo que la efectividad global
será deficiente.
• El control debe prevenir o mitigar los riesgos. Este es un aspecto que puede
parecer bastante obvio, sin embargo, suelen presentarse situaciones en las
cuales se pretende implementar un control que no permite la prevención o
mitigación de los riesgos o los hace de forma parcial, exponiendo a la empresa
a diversas contingencias.
8
1.2. ANÁLISIS Y EVALUACIÓN DE IDONEIDAD DE
LOS CONTROLES EXISTENTES EN LA ACTUA-
LIDAD
Una vez determinado el riesgo intrínseco (RI), identificamos los controles que
estamos aplicando en la organización para la mitigación y monitorización de
los riesgos identificados, con el objetivo de poder determinar la efectividad
de las actividades o mecanismos de control definidos actualmente.
Para cada uno de los factores de efectividad se aplica una valoración de cinco
niveles, del 0 al 5, teniendo en cuenta los siguientes criterios:
9
Efectividad del control = A + B + C+ D + E / Número de factores (5)
10
02
MAPA
DE RIESGOS
PASOS A SEGUIR EN EL MAPA DE RIESGOS
11
»» No tener en cuenta la conexión entre distintos departamentos de la
compañía.
»» No tener en cuenta los riesgos propios del sector.
»» Y, sobre todo, no usar el sentido común.
2.1. METODOLOGÍA
Hay que recordar que ni las ISOS 19600 y 37001, ni la UNE 19601 imponen
una metodología de evaluación de riesgos en concreto, de manera que
cada organización puede emplear la que más le convenga de acuerdo a sus
circunstancias, conscientes de la diversidad y de las diferentes necesidades
de las empresas según sus circunstancias
VALORACIÓN
Es importante tener en cuenta, y siempre presente, la siguiente fórmula
para la evaluación de riesgos.
R= I x P x V
12
¿Es solo una cuestión de “colores” o de “alto, medio o bajo”?
NO HAY UN MÉTODO
• Alcance:
»» Subjetivo: ¿A toda la empresa? ¿A algunas áreas? ¿A las filiales de un gru-
po? ¿Proveedores?
»» Objetivo: ¿Compliance penal? ¿O Compliance amplio: LOPD, competen-
cia, riesgos laborales?
• Criterios de análisis:
»» Normas internacionales de Auditoría.
»» Modelos cualitativos.
»» Modelos cuantitativos.
»» Planillas de cálculo.
»» Análisis subjetivos.
• Criterios de realización:
»» Sector de actividad.
»» Grado de estandarización.
»» Sector regulado: financiero, farmacéutico, seguros.
13
No se puede establecer de forma categórica un único procedi-
miento y mecanismo que pueda operar para todo tipo de em-
presas, ya que la eficacia de estos dependerá de las caracterís-
ticas internas: sector de actividad, tamaño, complejidad, etc.
• Modelo cuantitativo:
»» Ambición de responder a la pregunta de ¿cuánto
más? ¿cuánto menos?, cuantificando todos los as-
pectos posibles.
»» Se trabaja sobre valores que son números reales,
siempre superiores a 0.
• Modelo cualitativo:
»» Busca una valoración relativa del riesgo que corren
los activos: ¿qué es lo más? frente a ¿qué es lo me-
nos? Busca saber qué es lo que hay, sin cuantificarlo
con precisión más allá de relativizar los elementos
del modelo.
14
03
VARIABLES DEL MAPA
DE RIESGOS
3.1. IMPACTO
El impacto valora la gravedad de las consecuencias que para la empre-
sa puede implicar la comisión de los delitos, en función de la pena que se
puede imponer. Todas las penas aplicables a las personas jurídicas tienen la
consideración de graves, y la declaración de responsabilidad de la empresa
implica siempre la imposición de una multa, generalmente, en función del
beneficio obtenido a raíz de la comisión de la conducta ilícita.
15
3.2. PROBABILIDAD
Es fundamental analizar distintos factores que pueden influir en la probabi-
lidad de que se produzca un evento que genere un riesgo. Así, entre otros,
cabe mencionar los siguientes factores que pueden influir en el grado de
probabilidad:
• Actividad de la empresa.
• Historial de la empresa en lo que se refiere a requerimientos y sanciones
que le hayan podido imponer.
• Niveles de controles preexistentes y cultura de cumplimiento normati-
vo.
• El grado de exposición al riesgo (así, por ejemplo, cuanto más difícil sea
la detección, mayor es el grado de exposición).
• El riesgo esperado: resultado de la probabilidad de que el ilícito sea
descubierto (aquí cabe preguntarse ¿han sido suficientes los controles
existentes?) con las consecuencias de que el mismo sea advertido, ínti-
mamente relacionado con el régimen disciplinario que la compañía haya
implementado.
DISEÑO
16
CASO REAL
Objetivos:
17
Figura 12: Ejemplo de análisis de riesgo.
(Anónimo, s.f)
18
04
REVISIÓN
CONTINUA
4.1. REVISIÓN SISTEMÁTICA
Se deben revisar los riesgos vigentes y deben estar actualizados de acuerdo
con los nuevos riesgos identificados. Para garantizar que el sistema de ges-
tión de riesgos sea sólido y eficaz, esta revisión se debe realizar al menos
una vez al año por los responsables de procesos, o con mayor frecuencia
en caso de cambios organizacionales significativos -cambios importantes
en tecnología, en los objetivos estratégicos de negocios, en el entorno de la
organización, etc.-. Con independencia de las revisiones generales planifica-
das, en un mundo ideal, los riesgos deberían estar permanente actualizados.
19
El Compliance Officer, con una periodicidad al menos
anual, deberá:
»» Comprobar la idoneidad de la clasificación e iden-
tificación de los riesgos, considerando el entorno y
las circunstancias de los procesos operativos de la
organización.
»» Comprobar el funcionamiento del sistema para la
gestión de los riesgos, tanto en lo que se refiere al
diseño, como a la implementación y a la eficacia de
los controles y demás acciones y planes puestos en
marcha.
Para poder llevar a cabo con éxito la implementación
de un sistema de gestión de riesgos, se hace indispen-
sable contar con algún tipo de herramienta/software
que se adapte a las necesidades de cada organización,
bien mediante la contratación de una de las muchas
que existe en el mercado y su posterior adaptación,
bien mediante la creación de una herramienta de desa-
rrollo propio. En cualquiera de los casos, hay que tener
en cuenta que deberá cumplir con una serie de requisi-
tos y características como, por ejemplo:
»» Flexibilidad y dinamismo suficientes, que permitan
la actualización rápida y periódica de los datos.
»» Adaptación a los procesos de la entidad.
»» Permitir la estructuración de la actividad de cada
organización, en función de sus áreas de actividad,
en los procesos y subprocesos desarrollados, iden-
tificar los riesgos existentes en cada uno de los mis-
mos y evaluar los controles que los mitiguen.
»» Disposición de Indicadores de Riesgo.
»» Permitir la interactuación con las personas que in-
tervienen en todos los proceses de riesgos y con-
troles identificados.
»» Generación de alertas ante los incumplimientos
como, por ejemplo, controles no realizados dentro
del plazo establecido o hitos no conseguidos proce-
dentes de los planes de acción.
»» Tener trazabilidad y disponer de un sistema de re-
gistros de las personas que acceden.
»» Disposición de las medidas suficientes de seguri-
dad que garanticen la integridad de los datos y de
acceso a los mismos.
Otro aspecto clave es el establecimiento de una cultu-
ra de riesgo y, para ello, hay que cumplir con determi-
nadas acciones claves. A nivel de decálogo tenemos:
20
»» Apoyo del Órgano de Gobierno y Órgano de Gestión en la gestión de
riesgos y su control para conseguir una eficaz gerencia de riesgos.
»» Establecimiento del apetito de riesgo de la organización.
Sin embargo, se debe tomar en cuenta que las normas en general son de
obligatorio cumplimiento, por lo que no resultaría posible ni legalmente vá-
lido dejar a un nivel de discrecionalidad la observancia de las mismas. Esto
es fácil de graficar: ¿acaso las empresas son libres de elegir si pagan o no im-
puestos?, ¿si deben pagar o no los sueldos de sus trabajadores?, ¿si deben cumplir
con las obligaciones contractuales a las cuales se comprometieron?, ¿deben rendir
cuentas a sus accionistas o a sus partes interesadas? Pues, la respuesta es nega-
tiva, sobre todo si vivimos en un Estado de derecho, en el que las personas y
las empresas se desenvuelven en un marco normativo que debe respetarse
con el fin de llevar una convivencia pacífica que contribuya al desarrollo de
la sociedad. Por tal motivo, el incumplimiento de normas no formaría parte
del apetito al riesgo de la empresa, es decir, existiría un “Apetito Cero [0]”
al riesgo de incumplimiento normativo. En consecuencia, todos los riesgos
deberían ser materia de gestión para su prevención o mitigación.
Ahora, debido al enorme universo de normas que rigen las diversas activi-
dades de la empresa, la gestión de los riesgos deberá tener determinados
niveles de prioridad, en atención al apetito cero establecido. Por lo que en
aquellos riesgos que se encuentren catalogados con niveles de severidad
medio o alto, su atención debe ser prioritaria, mientras que aquellos con ni-
veles de severidad baja, serán considerados como “tolerables”, en la medida
que su tratamiento no es urgente en el corto plazo, lo cual no impide que se
realicen las acciones de gestión correspondientes. Este aspecto lo veremos
con mayor detalle más adelante.
21
• Establecer la política de riesgos alineada con los objetivos estratégicos
de la organización y comunicarla a todos los empleados.
• Establecer actitudes de la organización ante los riesgos identificados y
evaluados, con base en lo recogido en los objetivos estratégicos y la cul-
tura organizativa.
• Utilizar técnicas de análisis y evaluación de los riesgos.
• Comunicar a toda la organización de los riesgos y la metodología a em-
plear para su gestión, mediante procesos informáticos y canales de co-
municación apropiados.
• Alinear e integrar las actividades de la administración de los riesgos con
los procesos operativos de cada unidad de negocio, área o departamen-
to.
• Desarrollar, en forma continua, mejoras de procesos relacionadas con
un enfoque de gestión de riesgos.
• Definir y asignar las responsabilidades dadas a los distintos niveles de la
estructura organizativa para las actividades requeridas en el proceso de
implementación de la gestión de los riesgos.
• Implementar formación a todo el personal para la integración de las téc-
nicas de administración de riesgos con la cultura organizativa, para así
asegurar la implementación de la “cultura de cumplimiento” en el seno de
la organización. Dicha cultura estará reforzada con la existencia de un
Código de Conducta que recoja las medidas disciplinarias, así como de
un canal de denuncias.
22
Por poner un ejemplo, imaginemos un vehículo que, por sus caracte-
rísticas técnicas, es capaz de ir a 180 Km/h. Por la capacidad del con-
ductor y las condiciones metrológicas, toleraría ir a 150 km/h. Y para
llegar de forma segura y en un tiempo adecuado, respetando los lími-
tes establecidos, el conductor decide viajar a 120 Km/h. Este sería el
apetito al riesgo.
23
05
MONITOREO
DE LOS RIESGOS
El monitoreo de riesgos es una parte clave de cualquier plan de gestión de riesgos
de cualquier organización, ya que permite determinar si todos los componentes del
plan de prevención operan efectivamente y si el resultado de los controles identifi-
cados es reportado oportunamente al Oficial de Cumplimiento.
Para aquellos casos en los cuales el riesgo sea crítico y la capacidad de gestión sea
insuficiente, los propietarios de los riesgos deberán tener preparado un plan de
contingencia que, en caso de que el riesgo se materialice, deberá ser propuesto al
Compliance Officer para su aplicación y reducción de las posibles consecuencias
negativas de dicho riesgo. El Compliance Officer deberá monitorizar la correcta
aplicación de los planes mencionados.
Esta etapa consiste en asegurar que la estrategia de tratamiento de los riesgos con-
templada en los planes de acción, esté siendo realmente ejecutada por las áreas
responsables de la empresa, por lo que requiere una revisión continua de las mis-
mas.
24
atendidos por las áreas responsables en la forma y oportunidad establecidas en
dichos planes. Al vencimiento de los plazos, se deberá comunicar la situación de
avance del proceso de implementación o cumplimiento de la norma.
25
BIBLIOGRAFÍA
NATES PARRA, C. (2011). ISO 3000.
Gestión del riesgo. Principios y direc-
trices.
26