Apostar por la protección siempre resulta positivo, y por eso, las empresas de hoy disponen de sistemas de gestión, con los cuales poder identificar y clasificar los riesgos de la organización, tanto a nivel operativo como legal.
De esta manera, dispondrán de todos los mecanismos necesarios de prevención, control, reacción y gestión, para hacer frente a cualquier tipo de riesgo que pudiera afectarles.
En ese punto, es muy importante conocer las metodologías de gestión de riesgos o, al menos, de qué herramientas disponemos para poder ejecutar correctamente, en el caso del lavado de dinero, las organizaciones deberán realizar una gestión.
Una de las herramientas de más actualidad, es la norma ISO 37001 para sistemas de gestión antisoborno, ya que ayuda a controlar y gestionar una tipología de riesgos cada vez más frecuentes.
En relación a este estándar internacional, hemos elaborado un artículo muy inteersante titulado preguntas frecuentes sobre ISO 37001 para sistemas de gestión de Antisoborno, y seguro que podrá resolver más de una duda.
No obstante, en el artículo que presentamos en el día de hoy, les hablaremos acerca de que las matrices de riesgo y cómo pueden ayudarle en su organización en el lavado de dinero.
Pasos para la elaboración de una matriz de riesgo
Esta metodología, es utilizada dentro de un sistema como herramienta de control interna y de riesgos empresariales.
Para ello, se basa en una serie de criterios, tanto cualitativos como cuantitativos.
A continuación, se desarrollarán los pasos para realizar una matriz de riesgo, algo de vital importancia para las empresas.
Etapa 1. Identificación de riesgos
Antes de realizar cualquier tipo de matriz, es preciso haber realizado una evaluación de riesgos, para identificar los riesgos que han de tratarse y gestionarse mediante la matriz.
Para ello, se revisan todas las fuentes de información que puedan tener eventos de riesgo, considerando la naturaleza y características de los factores de riesgo existentes.
Estos riesgos, pueden ser identificados mediante la lluvia de ideas y asistida por los responsables de gestionar los procesos, por lo que se construye una perfecta base de datos de estos eventos, que más adelante, serán evaluados y calificados.
Etapa 2. Valoración de riesgos y calificación de resultados
Cuando los eventos de riesgo ya han sido identificados, se da paso a la valoración de los mismos en este punto, mientras se realiza la matriz de evaluación de riesgos.
En ella, deben considerarse una serie de variables que se comentan a continuación:
- Determinación de megaproceso, proceso y subproceso.
- Identificación de cualquier evento de riesgo o riesgo que pueda afectar a la consecución de los objetivos
- Fijar un número secuencial para el factor riesgo
- Descripción del riesgo
- Factor de riesgo, que será aquel que pueda afectar al cumplimiento de los objetivos de la organización y del sistema de compliance. Para el lavado de dinero, deben tenerse en cuenta los factores de riesgos vinculados a personas, productos, jurisdicción y canales.
- Probabilidad de ocurrencia
- Impacto y su valoración
- Valoración del impacto
- Riesgo inherente
Probabilidad de ocurrencia
Al riesgo o evento en sí, se le asigna una probabilidad de que pueda ocurrir, para que pueda medirse en términos de frecuencia o factibilidad, considerando factores internos y externos que puedan dar lugar al riesgo.
Normalmente, se utiliza la siguiente escala:
- Improbable
- Probable
- Muy probable
Impacto y su valoración
Aquí, se trata de asignarle al riesgo una consecuencia o magnitud de los efectos que pueda tener el posible riesgo, valoración cualitativa, para lo cual se suele utilizar la escala alto, medio y bajo.
Para valorar el impacto, es preciso tener conocimiento y experiencia en cuanto a la Información levantada, para, además, obtener el riesgo inherente.
Riesgo inherente
Este tipo de riesgos, son los propios o característicos de la actividad, principalmente, en ausencia de acciones por parte de los directivos.
Estos, también se clasifican en bajo, moderado y alto.
Mapa de riesgo
Es la manera más visual para de comprender y conocer las amenazas, por lo que mejora y facilita la toma de decisiones respecto a cómo actuar frente a la materialización de posibles riesgos.
En este punto, es necesario identificar los límites inferiores y superiores del nivel de riesgo.
Así, con la probabilidad y el impacto, se obtiene lo que se denomina mapa de calor. Esto es una representación gráfica con los objetivos estratégicos de la empresa y los riesgos de mayor interés respecto a la toma de decisiones.
Gracias a la matriz de riesgo, la gestión del sistema de compliance es más efectiva, ya que facilita el control sobre los riesgos, especialmente, sobre los de mayor criticidad para la organización.
Tomado de: https://www.isotools.org