Cuestiones básicas sobre la gestión de riesgos de Compliance

Una vez identificados los riesgos de Compliance de la organización, se debe proceder a su análisis y evaluación o valoración. Para ello, se deberá conocer cuál es el riesgo inherente y el riesgo residual de cada uno de los riesgos que encontramos en el mapa de riesgos de nuestra organización

El objetivo principal de la gestión del riesgo de Compliance es comprender mejor la exposición al riesgo para que se puedan tomar decisiones informadas sobre la gestión del riesgo. Teniendo esto en cuenta, la metodología aplicada de análisis y evaluación de riesgos de Compliance se adaptará a cada organización y se incluirán tantos elementos como el Compliance Officer considere y el Órgano de Administración apruebe. Por ello, debemos tener en cuenta que este ejercicio es único para cada empresa y dependerá de factores tales como la industria, el tamaño, la ubicación, etc.

Sistema De Gestión De Riesgos De Compliance

Conforme a lo establecido en la ISO 31000 de Gestión del riesgo: “El análisis del riesgo se puede realizar con diferentes grados de detalle y complejidad, dependiendo del propósito del análisis, la disponibilidad y la confiabilidad de la información y los recursos disponibles (…) El análisis del riesgo debería considerar factores tales como:

  • La probabilidad de los eventos y de las consecuencias;
  • La naturaleza y magnitud de las consecuencias;
  • La complejidad y la interconexión;
  • Los factores relacionados con el tiempo y la volatilidad;
  • La eficacia de los controles existentes;
  • Los niveles de sensibilidad y de confianza.”

Por otro lado, la misma ISO 31000 nos dice que el objetivo de la valoración del riesgo es “apoyar a la toma de decisiones. La valoración del riesgo implica comparar los resultados del análisis del riesgo con los criterios del riesgo establecidos para determinar cuándo se requiere una acción adicional.”

Por tanto, durante el análisis y la valoración de riesgos, determinaremos la probabilidad de que los riesgos lleguen a materializarse y las consecuencias a las que tendría que hacer frente la organización en este caso. Este ejercicio de pronóstico se realizará, inevitablemente, atendiendo al nivel de riesgo inherente (también denominado bruto) y residual (o neto) de cada uno de los riesgos que componen el universo de riesgos de la organización.

Avatar Of María Torres

Coordinadora Compliance en Management Solutions

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Deja un comentario

¡Comparte en redes sociales!