jueves, 19 de octubre de 2017

UNE 19601: CURIOSIDADES. La evaluación de riesgos (2)

Por Juan Carlos Bajo




En el artículo anterior goo.gl/fBVUP2 hemos analizado las diferencias sobre la evaluación de riesgos y las diferencias entre la norma UNE 19601 y la ISO 19600. En este artículo vamos analizar el desarrollo y contenido de la evaluación de riesgos.

En la norma UNE 19601, la evaluación de riesgos se desarrolla en el apartado 6.2 cuya estructura es un poco extraña a primera vista, en el apartado 6.2.1 “Generalidades” define que la evaluación de riesgos, se define el proceso de evaluación como identificación, análisis y valoración de los riesgos penales, sin embargo, en los siguientes apartados desaparece la identificación ya que sólo tenemos los aparatados 6.2.2. “Análisis de riesgos penales” y el 6.2.3 “Valoración de los riesgos penales”.

Por otra parte, en su apartado 6.2.2. nos da una pista de cómo es la evaluación de riesgos ya que indica que “debe analizar los riesgos penales considerando las causas y las fuentes de incumplimiento compliance penal”, lo cual representa no una identificación de riesgos, si no una identificación de los factores de riesgo. Indicando a su vez que la evaluación debe valorar la probabilidad y las consecuencias (económicas, reputacionales, etc.). Es decir, sería válida cualquier metodología siempre que incluya la valoración en base a probabilidad y consecuencias. Señalando en su NOTA 1 (las notas no son de obligado cumplimiento) que no sólo se debe definir el método, sino también el umbral de riesgo aceptable por la empresa.

Esto implica que, independientemente del método elegido, no valdría simplemente, por ejemplo, definir la probabilidad en alta, media o baja o las consecuencias en leves, graves o importantes, el sistema debe definir que consideramos para cada uno de estos criterios, por ejemplo, consecuencias valoradas como baja son aquellas cuya pérdida económica es inferior a 10.000 euros.

Esto permite que, cada organización adecue los criterios (alto, medio, bajo) sus características, para una pyme un valor alto puede ser 10.000 euros, mientras que para una multinacional 10.000 euros puede ser una consecuencia baja.

No obstante que la referencia se hace en una nota, sin embargo, posteriormente en el apartado 6.2.5. “Información documentada sobre los riesgos penales”, define que debe quedar documentado lo indicado anteriormente:

“La organización debe mantener información documentada de la identificación, análisis y evaluación de riesgos penales y de la metodología y criterios utilizados”. Es decir convierte todos estos aspectos en requisitos indirectamente.

Si analizamos la norma ISO 19600, podemos ver que, aunque solo dispone de un apartado el 4.6 “Identificación, análisis y evaluación de riesgos compliance”, su contenido es similar, aunque la norma hace más hincapié en la detección de las obligaciones compliance que la UNE 19601 ya que le dedica dos apartados específicos.

Por otra parte, ambas normas nos referencian a la ISO 31000 “Sistemas de gestión de riesgos” en lo relacionado con la evaluación de riesgos como método de referencia, aunque realmente la norma ISO 31000 es más un sistema de gestión que una metodología.

Llegados a este punto, la pregunta sería ¿Qué metodología utilizo para realizar la evaluación de riesgos?

En un principio, la que consideremos más adecuada a nuestros riesgos, organización, etc. y además en la que nos encontremos cómodos para su utilización. Pero teniendo en cuenta que toda la evaluación debe ser realizada con la misma metodología para que los niveles de riesgos sean comparativos y nos permita una clasificación de estos correcta. En mi opinión, es más importante aplicar correctamente el método elegido que perdernos en discusiones sobre el método.


Por último, dada la afluencia al mercado de diferentes aplicaciones informáticas para gestionar el sistema compliance, simplemente recordar a los que estén en fase de elección de una de ellas que analicen significativamente la metodología de evaluación que la aplicación incluye ya que, si elegimos la aplicación, será la metodología incluida la que deberemos utilizar.

Juan Carlos Bajo, estara en la jornada gratuita compliance en Granada 
el 9 de Noviembre

https://docs.google.com/forms/d/e/1FAIpQLSc43rgJ7Twxpa_pgUeBLIiEhZDQYjjXudl_4D-cVVHkMcSohw/viewform

Busca Compliance

NOTICIAS