RIESGOS Y CONTROLES:

EVALUACIÓN, TRATAMIENTO
Y MONITOREO
AUTORA: JIMENA ALGUACIL
CONTENIDO
INTRODUCCIÓN.................................................................................................................. 3

1. EVALUACIÓN DE RIESGOS.......................................................................................... 4
1.1. Cómo puedo hacer esta evaluación..........................................................................5
1.1.1. Evaluación de riesgos penales..........................................................................5
1.1.2. Evaluación de los controles...............................................................................6
1.2. Análisis y evaluación de idoneidad de los controles existentes en la actualidad
8
1.2.1. Evaluación de la efectividad y vulnerabilidad de los controles.....................9
2. MAPA DE RIESGOS......................................................................................................11
2.1. Metodología................................................................................................................. 12
3. VARIABLES DEL MAPA DE RIESGOS.......................................................................15
3.1. Impacto......................................................................................................................... 15
3.2. Probabilidad................................................................................................................. 16
4. REVISIÓN CONTINUA ................................................................................................19
4.1. Revisión sistemática.................................................................................................. 19
5. MONITOREO DE LOS RIESGOS................................................................................24

BIBLIOGRAFÍA...................................................................................................................26

2
INTRODUCCIÓN

Las empresas están expuestas a diversos riesgos,

que pueden afectar su funcionamiento y produc-
tividad. Es por ello, que es de suma importancia
hacer una evaluación completa y precisa para sa-
ber cómo actuar ante estos posibles riesgos.

Las semanas previas trabajamos con el trata-

miento que debía darse a los riesgos evaluados,
mediante el Plan de Acción y los componentes
necesarios y beneficios del Código de Ética.

Esta semana, desarrollaremos temas concernien-

tes a la evaluación de los riesgos y la elaboración
del mapa de riesgos, qué metodología utilizar y
las variables que intervienen en su realización. Y
finalmente, el monitoreo que requieren.

3
 01
EVALUACIÓN
DE RIESGOS
• La actividad empresarial de hoy se manifiesta en un entorno incierto y está
expuesta a un conjunto amplio de riesgos.
• Para conocer un riesgo es necesario conocer su causa, que es la que va a de-
terminar la existencia de este, y si puede afectar a la empresa o no.
• Los efectos o consecuencias de los riesgos pueden afectar a la empresa de
diversas formas.
• Clasificar estos efectos permite entender este aspecto de forma más precisa.

Una correcta evaluación nos permite determinar de una manera más exacta la ex-
posición de la empresa a un riesgo.

Figura 1: Correcta evaluación del riesgo.

(Elaboración propia, 2021)

4
1.1. CÓMO PUEDO HACER ESTA EVALUACIÓN
Por riesgo penal:

Profundizar en la conducta típica del delito, concretar qué clase de

comportamiento se podría cometer.

Incluir preguntas sobre el cumplimiento de la normativa sectorial.

Personas:

Entrevistar no solo a responsables del área, sino también a mandos

intermedios y a los empleados, cuando se considere oportuno.

Incorporar a personas de soporte, como es el caso de empresas subcontratadas,

empresas participadas.

Figura 2: Tareas a realizar.

(Elaboración propia, 2021)

Las conclusiones de toda esta información deben implicar una dinámica de

trabajo grupal.

5
1.1.1. Evaluación de riesgos penales

Figura 3: Riesgo residual.

(Elaboración propia, 2021)

1.1.2. Evaluación de los controles

Figura 4: Controles.
(Elaboración propia, 2021)

6
El siguiente paso será la identificación y valoración de los controles que
existen en la organización para prevenir, mitigar o evitar los riesgos.

Los controles pueden ser:

• DE PREVENCIÓN o EX ANTE.
• DE REACCIÓN o EX POST.

Una vez identificados los controles asociados a cada riesgo, es necesario

proceder a su evaluación, analizando su diseño y la efectividad de su
funcionamiento.

Los controles pueden ser automáticos o manuales. Los controles manuales,

generalmente, son menos costosos, pero también menos seguros. En todo
caso, cada control debe estar diseñado de forma adecuada y proporcional al
riesgo que se pretende prevenir.

En ocasiones, nos podemos encontrar con un control que esté bien diseñado,
pero su funcionamiento puede no ser eficaz debido a deficiencias en la
forma en que se está ejecutando. Asimismo, un control puede estar siendo
ejecutado correctamente, pero mal diseñado, por lo que la efectividad global
será deficiente.

La valoración del riesgo puede ser:

»» Débil, si no existe control o, si existiendo, es muy deficiente.
»» Limitado, si existe un control, pero no es el adecuado o no está siendo
ejecutado correctamente.
»» Fuerte, existe un control adecuadamente diseñado y se ejecuta correc-
tamente, pero depende de intervenciones humanas.
»» Automatizado, es un control adecuadamente diseñado, se ejecuta co-
rrectamente e incorpora controles automáticos robustos.

De cada control hay que saber:

Figura 5: Qué tener en cuenta en cada control.

(Elaboración propia, 2021)
7
 • El control debe cumplir con lo establecido en la norma, es decir, debe estar
acorde a los requerimientos contemplados en la norma que es materia de im-
plementación o cumplimiento.

Por ejemplo, si nos encontramos frente a la norma que regula la in-

formación de hechos de importancia para empresas que cotizan en
el Mercado de Valores, en dicho cuerpo normativo se listan una serie
de características que la comunicación debe contemplar para un ade-
cuado reporte a la Autoridad competente. En tal sentido, si se omite
alguna característica o aspecto, dicha comunicación no será válida y,
por lo tanto, estará sujeta a observación de la Autoridad, lo cual podría
exponer a la empresa a alguna contingencia.

• El control debe prevenir o mitigar los riesgos. Este es un aspecto que puede
parecer bastante obvio, sin embargo, suelen presentarse situaciones en las
cuales se pretende implementar un control que no permite la prevención o
mitigación de los riesgos o los hace de forma parcial, exponiendo a la empresa
a diversas contingencias.

El control debe contar con un documento normativo interno que regule su

implementación y operatividad (de ser el caso). Esto se refiere a aquellas
normas que establecen la reglamentación de algún proceso interno que se
genera con ocasión de su implementación o cumplimiento.

Por ejemplo: las normas sobre seguridad y salud en el trabajo dispo-

nen que se implementen reglamentos internos sobre la materia, las
normas de seguridad de la información también establecen que las
empresas deben implementar determinados procedimientos docu-
mentados para un adecuado cumplimiento.

Una vez que se presentan los controles, el oficial de cumplimiento normativo

deberá realizar una evaluación de los mismos para verificar los aspectos
antes señalados y que, de esa manera, pueda apreciarse una reducción de los
niveles de severidad de los riesgos hasta horizontes más tolerables. En caso
de que la aplicación de un control no logre mitigar los riesgos y, por ende, no
reduzca sus niveles de severidad, se recomienda volver a establecer un nuevo
plan de acción hasta que dicho objetivo sea alcanzado.

8
1.2. ANÁLISIS Y EVALUACIÓN DE IDONEIDAD DE
LOS CONTROLES EXISTENTES EN LA ACTUA-
LIDAD
Una vez determinado el riesgo intrínseco (RI), identificamos los controles que
estamos aplicando en la organización para la mitigación y monitorización de
los riesgos identificados, con el objetivo de poder determinar la efectividad
de las actividades o mecanismos de control definidos actualmente.

Para evaluar la eficacia de los controles, realizamos un análisis de (V)

vulnerabilidad de los controles asignados a cada riesgo mediante la
determinación de su nivel de efectividad, en la que los factores que evaluamos
para calcularla son:

Factores de análisis de efectividad del/os control/es:

1. Grado de aplicación.
2. Frecuencia en su ejecución y seguimiento.
3. Determinación y definición de responsable(s) del mismo.
4. Carácter preventivo.
5. Grado de documentación o evidencia.

Para cada uno de los factores de efectividad se aplica una valoración de cinco
niveles, del 0 al 5, teniendo en cuenta los siguientes criterios:

• Si existen herramientas informáticas o similares que permitan una gestión del

control con independencia de personas.
• Si el control ha sido informado, es conocido por toda la organización o, como mí-
nimo, por las personas y/o áreas afectadas por el mismo.
• Si el control es aceptado por el conjunto de la organización o por las personas
y/o áreas sobre las que les es de aplicación. Es decir, que no existan eventos que
puedan indicar que se ha dejado de aplicar por voluntad de personas.
• Si existen mecanismos de verificación del seguimiento del control.

1.2.1. Evaluación de la efectividad y vulnerabili-

dad de los controles
El valor de efectividad del control se calcula con una fórmula, en la que se
suma el valor obtenido del análisis de cada uno de los factores de riesgos y se
divide entre el número de factores utilizados, a fin de promediar el resultado
del análisis de cada uno de los factores:

9
 Efectividad del control = A + B + C+ D + E / Número de factores (5)

El valor obtenido (*) de la evaluación de efectividad del control, que oscila

entre 1 y 5, determina el grado de protección del control y, en consecuencia,
el valor de su vulnerabilidad.

Figura 6: Sistema de control interno

(Elaboración propia, 2021)

Al finalizar esta fase de evaluación podemos apreciar el riesgo inherente y el

riesgo residual.

Figura 7: Resultado del análisis.

(Elaboración propia, 2021)

El riesgo inherente y la efectividad de los controles asociados sobre

el mismo indicarán el riesgo residual que la empresa está dispuesta a
asumir después de considerar el impacto de los controles de mitigación.

10
 02
MAPA
DE RIESGOS
PASOS A SEGUIR EN EL MAPA DE RIESGOS

Escoger la metodología a implementar

↓
Elaborar cuestionarios en relación a los factores de riesgo
↓
Identificar y convocar a las personas a realizar:
directivos, mandos intermedios, niveles más bajos.
↓
Confeccionar actas de entrevistas
↓
Solicitar documentación – evidencias – con sello de tiempo.
↓
Identificar los procesos en los que participa cada departamento de la campaña
↓
Elaborar el mapa de riesgos
↓
Consolidar el mapa de riesgos de cada departamento
en el mapa de riesgos general
↓
Definir la prioridad para aplicar medidas de supervisión y control.

ERROR QUE HAY QUE EVITAR EN EL MAPA DE RIESGOS

»» Basar el análisis en fórmulas matemáticas.

»» Basar la variable “probabilidad” en la exclusiva opinión del cliente.
»» Las manifestaciones del cliente como única fuente de información.
»» No tener en cuenta el factor humano del entrevistado.

11
 »» No tener en cuenta la conexión entre distintos departamentos de la
compañía.
»» No tener en cuenta los riesgos propios del sector.
»» Y, sobre todo, no usar el sentido común.

2.1. METODOLOGÍA

Hay que recordar que ni las ISOS 19600 y 37001, ni la UNE 19601 imponen
una metodología de evaluación de riesgos en concreto, de manera que
cada organización puede emplear la que más le convenga de acuerdo a sus
circunstancias, conscientes de la diversidad y de las diferentes necesidades
de las empresas según sus circunstancias

En el ámbito del Sistema de Gestión de Compliance Penal, la identificación

del riesgo supone conocer qué grado de exposición tiene la empresa u
organización, a riesgos que implican una responsabilidad penal.

Figura 8: Opciones de metodología.

(Elaboración propia, 2021)

VALORACIÓN
Es importante tener en cuenta, y siempre presente, la siguiente fórmula
para la evaluación de riesgos.
R= I x P x V

12
¿Es solo una cuestión de “colores” o de “alto, medio o bajo”?

Figura 9: Grado de riesgo en las áreas.

(Elaboración propia, 2021)

Identifica conductas /incidentes / actuaciones que derivarían en la comisión de un

delito o en un incumplimiento.

NO HAY UN MÉTODO

• Alcance:
»» Subjetivo: ¿A toda la empresa? ¿A algunas áreas? ¿A las filiales de un gru-
po? ¿Proveedores?
»» Objetivo: ¿Compliance penal? ¿O Compliance amplio: LOPD, competen-
cia, riesgos laborales?

• Criterios de análisis:
»» Normas internacionales de Auditoría.
»» Modelos cualitativos.
»» Modelos cuantitativos.
»» Planillas de cálculo.
»» Análisis subjetivos.

• Criterios de realización:
»» Sector de actividad.
»» Grado de estandarización.
»» Sector regulado: financiero, farmacéutico, seguros.

13
No se puede establecer de forma categórica un único procedi-
miento y mecanismo que pueda operar para todo tipo de em-
presas, ya que la eficacia de estos dependerá de las caracterís-
ticas internas: sector de actividad, tamaño, complejidad, etc.

• Modelo cuantitativo:
»» Ambición de responder a la pregunta de ¿cuánto
más? ¿cuánto menos?, cuantificando todos los as-
pectos posibles.
»» Se trabaja sobre valores que son números reales,
siempre superiores a 0.

• Modelo cualitativo:
»» Busca una valoración relativa del riesgo que corren
los activos: ¿qué es lo más? frente a ¿qué es lo me-
nos? Busca saber qué es lo que hay, sin cuantificarlo
con precisión más allá de relativizar los elementos
del modelo.

14
 03
VARIABLES DEL MAPA
DE RIESGOS
3.1. IMPACTO
El impacto valora la gravedad de las consecuencias que para la empre-
sa puede implicar la comisión de los delitos, en función de la pena que se
puede imponer. Todas las penas aplicables a las personas jurídicas tienen la
consideración de graves, y la declaración de responsabilidad de la empresa
implica siempre la imposición de una multa, generalmente, en función del
beneficio obtenido a raíz de la comisión de la conducta ilícita.

Ahora bien, adicionalmente a la dimensión económica del daño, se tiene asi-

mismo en cuenta el daño reputacional que podría suponer a la empresa la
comisión de determinados delitos y ello, incluso, en relación con las terceras
partes con las que la Empresa se relaciona, tales como clientes, proveedo-
res, administración pública, etc.

En el análisis subjetivo realizado, cabe tener en cuenta que los daños

reputacionales, a nuestro modo de ver, son tanto o más importantes que
los económicos, pues pueden producir una cadena de consecuencias
en relación con los grupos de interés de la organización, tales como
pérdidas de clientes, de financiación, etc.

15
3.2. PROBABILIDAD
Es fundamental analizar distintos factores que pueden influir en la probabi-
lidad de que se produzca un evento que genere un riesgo. Así, entre otros,
cabe mencionar los siguientes factores que pueden influir en el grado de
probabilidad:

• Actividad de la empresa.
• Historial de la empresa en lo que se refiere a requerimientos y sanciones
que le hayan podido imponer.
• Niveles de controles preexistentes y cultura de cumplimiento normati-
vo.

En esta variable cabe tener presente:

• El grado de exposición al riesgo (así, por ejemplo, cuanto más difícil sea
la detección, mayor es el grado de exposición).
• El riesgo esperado: resultado de la probabilidad de que el ilícito sea
descubierto (aquí cabe preguntarse ¿han sido suficientes los controles
existentes?) con las consecuencias de que el mismo sea advertido, ínti-
mamente relacionado con el régimen disciplinario que la compañía haya
implementado.

DISEÑO

Figura 10: Variables.

(Anónimo, s.f)

16
CASO REAL

Figura 11: Ejemplo.

(Anónimo, s.f)

MAPA DE RIESGOS DE CUMPLIMIENTO

Objetivos:

• Conocer el universo normativo que es de aplicación.

• Identificar los riesgos de cumplimento asociados a los principales ries-
gos estratégicos y de negocio.
• Coordinar las áreas de gestión de riesgo y de cumplimento para que la
evaluación de los riesgos sea consistente y no haya solapamientos.

Dimensiones y parámetros del mapa de riesgos de compliance

17
Figura 12: Ejemplo de análisis de riesgo.
(Anónimo, s.f)

18
 04
REVISIÓN
CONTINUA
4.1. REVISIÓN SISTEMÁTICA
Se deben revisar los riesgos vigentes y deben estar actualizados de acuerdo
con los nuevos riesgos identificados. Para garantizar que el sistema de ges-
tión de riesgos sea sólido y eficaz, esta revisión se debe realizar al menos
una vez al año por los responsables de procesos, o con mayor frecuencia
en caso de cambios organizacionales significativos -cambios importantes
en tecnología, en los objetivos estratégicos de negocios, en el entorno de la
organización, etc.-. Con independencia de las revisiones generales planifica-
das, en un mundo ideal, los riesgos deberían estar permanente actualizados.

Figura 13: Riesgos de cumplimiento.

(PwC, s.f.)

19
El Compliance Officer, con una periodicidad al menos
anual, deberá:
»» Comprobar la idoneidad de la clasificación e iden-
tificación de los riesgos, considerando el entorno y
las circunstancias de los procesos operativos de la
organización.
»» Comprobar el funcionamiento del sistema para la
gestión de los riesgos, tanto en lo que se refiere al
diseño, como a la implementación y a la eficacia de
los controles y demás acciones y planes puestos en
marcha.
Para poder llevar a cabo con éxito la implementación
de un sistema de gestión de riesgos, se hace indispen-
sable contar con algún tipo de herramienta/software
que se adapte a las necesidades de cada organización,
bien mediante la contratación de una de las muchas
que existe en el mercado y su posterior adaptación,
bien mediante la creación de una herramienta de desa-
rrollo propio. En cualquiera de los casos, hay que tener
en cuenta que deberá cumplir con una serie de requisi-
tos y características como, por ejemplo:
»» Flexibilidad y dinamismo suficientes, que permitan
la actualización rápida y periódica de los datos.
»» Adaptación a los procesos de la entidad.
»» Permitir la estructuración de la actividad de cada
organización, en función de sus áreas de actividad,
en los procesos y subprocesos desarrollados, iden-
tificar los riesgos existentes en cada uno de los mis-
mos y evaluar los controles que los mitiguen.
»» Disposición de Indicadores de Riesgo.
»» Permitir la interactuación con las personas que in-
tervienen en todos los proceses de riesgos y con-
troles identificados.
»» Generación de alertas ante los incumplimientos
como, por ejemplo, controles no realizados dentro
del plazo establecido o hitos no conseguidos proce-
dentes de los planes de acción.
»» Tener trazabilidad y disponer de un sistema de re-
gistros de las personas que acceden.
»» Disposición de las medidas suficientes de seguri-
dad que garanticen la integridad de los datos y de
acceso a los mismos.
Otro aspecto clave es el establecimiento de una cultu-
ra de riesgo y, para ello, hay que cumplir con determi-
nadas acciones claves. A nivel de decálogo tenemos:

20
 »» Apoyo del Órgano de Gobierno y Órgano de Gestión en la gestión de
riesgos y su control para conseguir una eficaz gerencia de riesgos.
»» Establecimiento del apetito de riesgo de la organización.

En tal sentido, es oportuno preguntarnos si la empresa ante determinadas

circunstancias aceptaría asumir las consecuencias que se derivan del in-
cumplimiento de normas. Esto es una situación que debiera evaluarse acu-
ciosamente, a efectos de dotar de un marco de actuación para la gestión de
riesgos.

Sin embargo, se debe tomar en cuenta que las normas en general son de
obligatorio cumplimiento, por lo que no resultaría posible ni legalmente vá-
lido dejar a un nivel de discrecionalidad la observancia de las mismas. Esto
es fácil de graficar: ¿acaso las empresas son libres de elegir si pagan o no im-
puestos?, ¿si deben pagar o no los sueldos de sus trabajadores?, ¿si deben cumplir
con las obligaciones contractuales a las cuales se comprometieron?, ¿deben rendir
cuentas a sus accionistas o a sus partes interesadas? Pues, la respuesta es nega-
tiva, sobre todo si vivimos en un Estado de derecho, en el que las personas y
las empresas se desenvuelven en un marco normativo que debe respetarse
con el fin de llevar una convivencia pacífica que contribuya al desarrollo de
la sociedad. Por tal motivo, el incumplimiento de normas no formaría parte
del apetito al riesgo de la empresa, es decir, existiría un “Apetito Cero [0]”
al riesgo de incumplimiento normativo. En consecuencia, todos los riesgos
deberían ser materia de gestión para su prevención o mitigación.

Ahora, debido al enorme universo de normas que rigen las diversas activi-
dades de la empresa, la gestión de los riesgos deberá tener determinados
niveles de prioridad, en atención al apetito cero establecido. Por lo que en
aquellos riesgos que se encuentren catalogados con niveles de severidad
medio o alto, su atención debe ser prioritaria, mientras que aquellos con ni-
veles de severidad baja, serán considerados como “tolerables”, en la medida
que su tratamiento no es urgente en el corto plazo, lo cual no impide que se
realicen las acciones de gestión correspondientes. Este aspecto lo veremos
con mayor detalle más adelante.

Empecemos esta parte señalando que, en líneas generales, el apetito al

riesgo es la cantidad y tipo de riesgo que una empresa está dispuesta
aceptar en su búsqueda de rentabilidad y valor.

21
 • Establecer la política de riesgos alineada con los objetivos estratégicos
de la organización y comunicarla a todos los empleados.
• Establecer actitudes de la organización ante los riesgos identificados y
evaluados, con base en lo recogido en los objetivos estratégicos y la cul-
tura organizativa.
• Utilizar técnicas de análisis y evaluación de los riesgos.
• Comunicar a toda la organización de los riesgos y la metodología a em-
plear para su gestión, mediante procesos informáticos y canales de co-
municación apropiados.
• Alinear e integrar las actividades de la administración de los riesgos con
los procesos operativos de cada unidad de negocio, área o departamen-
to.
• Desarrollar, en forma continua, mejoras de procesos relacionadas con
un enfoque de gestión de riesgos.
• Definir y asignar las responsabilidades dadas a los distintos niveles de la
estructura organizativa para las actividades requeridas en el proceso de
implementación de la gestión de los riesgos.
• Implementar formación a todo el personal para la integración de las téc-
nicas de administración de riesgos con la cultura organizativa, para así
asegurar la implementación de la “cultura de cumplimiento” en el seno de
la organización. Dicha cultura estará reforzada con la existencia de un
Código de Conducta que recoja las medidas disciplinarias, así como de
un canal de denuncias.

Con respecto al punto 2, un error muy común es confundir el concepto de

Apetitito de riesgos, con la Tolerancia al riesgo o la Capacidad de riesgo.

Si nos basamos en COSO, ya que el British Standard 31100 sobre “Gestión

de Riesgo” e ISO 31000 “Gestión del riesgo. Principios y directrices” hace defini-
ciones más genéricas, tenemos que:

»» Apetito de riesgo es el riesgo que se está> dispuesto a aceptar en la bús-

queda de la misión/visión de la entidad.
»» Tolerancia al riesgo, se define como el nivel aceptable de variación en los
resultados o actuaciones de la organización relativas a la consecución o
logro de sus objetivos estratégicos. Es la cantidad máxima de riesgo que
una organización está dispuesta a aceptar para logar su objetivo.
»» Capacidad de riesgo hace referencia, en cambio, a la cantidad y tipo de
riesgo máximo que una organización es capaz de soportar en la persecu-
ción de sus objetivos estratégicos.

22
Por poner un ejemplo, imaginemos un vehículo que, por sus caracte-
rísticas técnicas, es capaz de ir a 180 Km/h. Por la capacidad del con-
ductor y las condiciones metrológicas, toleraría ir a 150 km/h. Y para
llegar de forma segura y en un tiempo adecuado, respetando los lími-
tes establecidos, el conductor decide viajar a 120 Km/h. Este sería el
apetito al riesgo.

Figura 14: Capacidad, tolerancia y apetito de riesgo.

(Nahunfrett, s.f.)

23
 05
MONITOREO
DE LOS RIESGOS
El monitoreo de riesgos es una parte clave de cualquier plan de gestión de riesgos
de cualquier organización, ya que permite determinar si todos los componentes del
plan de prevención operan efectivamente y si el resultado de los controles identifi-
cados es reportado oportunamente al Oficial de Cumplimiento.

Para el monitoreo de los riesgos, se definirán indicadores cuantitativos o cualitati-

vos, así como los controles asignados, lo que constituye el plan de acción. En caso de
que un indicador supere la tolerancia fijada, serán los propietarios de los riesgos los
encargados de analizar las causas.

Para aquellos casos en los cuales el riesgo sea crítico y la capacidad de gestión sea
insuficiente, los propietarios de los riesgos deberán tener preparado un plan de
contingencia que, en caso de que el riesgo se materialice, deberá ser propuesto al
Compliance Officer para su aplicación y reducción de las posibles consecuencias
negativas de dicho riesgo. El Compliance Officer deberá monitorizar la correcta
aplicación de los planes mencionados.

Así, la efectiva labor de monitoreo no solo contribuye a realizar análisis de cau-

sa, sino que permite identificar qué procesos son vulnerables a estos riesgos y, con
base en ello, desarrollar nuevos planes de acción.

Esta etapa consiste en asegurar que la estrategia de tratamiento de los riesgos con-
templada en los planes de acción, esté siendo realmente ejecutada por las áreas
responsables de la empresa, por lo que requiere una revisión continua de las mis-
mas.

Al respecto, el monitoreo de los planes de acción se realizará por cualquier canal

de comunicación que establezca la empresa y los requerimientos de información,
formulados para tal efecto por el oficial de cumplimiento normativo, deberán ser

24
atendidos por las áreas responsables en la forma y oportunidad establecidas en
dichos planes. Al vencimiento de los plazos, se deberá comunicar la situación de
avance del proceso de implementación o cumplimiento de la norma.

En atención a ello, el oficial de cumplimiento normativo verificará si se procedió

con el cumplimiento del plan y, por tanto, si se gestionaron los riesgos.

Figura 15: Monitorización vs. supervisión.

(PwC, s.f.)

Figura 16: Funcionalidades clave.

(Elaboración propia, 2021)

25
BIBLIOGRAFÍA
NATES PARRA, C. (2011). ISO 3000.
Gestión del riesgo. Principios y direc-
trices.

26