AUDITORÍA COMPLIANCE: IDENTIFICACIÓN DEL RIESGO

Estándar

Cesar J Fernandez Perez

Socio Director en North Compliance. Socio Director en Audit Society Tax & Legal Services

 Continuando con la serie de publicaciones de aquellos errores y deficiencias que de forma repetitiva observo en las Auditorias de Compliance, los cuales son objeto de una No Conformidad en su resultado.

                En el presente artículo abordaré la Identificación del Riesgo, como parte fundamental del Sistema de Gestión de Compliance Penal.

                Para una correcta Identificación del Riesgo se han de tomar como referencia las Normas: UNE 19601 Sistemas de Gestión de Compliance Penal (6.2) ISO 31000 Gestión del Riesgo. Directrices (6.3.4 y 6.4) y UNE 31010 Técnicas de Apreciación del Riesgo (5.3).

               Como punto de partida debemos comenzar por definir en qué consiste la Identificación del Riesgo: La identificación del riesgo es el proceso en el que se descubren, reconocen y registran los riesgos de la Organización.

  ¿Cuál es su finalidad?, es identificar los sucesos o las situaciones que pudiesen presentarse y afectar al logro de los objetivos del sistema o de la organización.

Una vez Identificado el Riesgo, ¿qué debemos hacer?, la organización deberá identificar cualquiera de los controles existentes, tales como características de diseño, personas, procesos y sistemas.

El proceso de identificación del riesgo incluye la identificación de las causas y del origen del riesgo, sucesos, situaciones o circunstancias que pudiesen tener un impacto material sobre los objetivos y la naturaleza propia del impacto.

¿Qué pueden incluir los métodos de identificación del riesgo?

• Los métodos basados en evidencias, como por ejemplo las listas de verificación y las revisiones de datos históricos.

• Los enfoques sistemáticos del equipo, donde un grupo de expertos sigue un proceso sistemático para identificar riesgos por medio de un conjunto estructurado de proposiciones o preguntas.

• Las técnicas de razonamiento inductivo, tal como HAZOP.

• Para mejorar la precisión y la exhaustividad de la identificación del riesgo se pueden aplicar diversas técnicas de apoyo, incluidas tormenta de ideas y la metodología Delphi.

Con independencia de las técnicas empleadas, cuando Identificamos el Riesgo es importante dar tener muy en consideración los factores humanos y de la organización. Por ello, se deberán incluir las desviaciones de los factores humanos y de la organización con respecto a lo esperado, así como los elementos de “hardware” o de “software”.

 Para que la Auditoría del Sistema de Gestión de Compliance Penal (SGCP) sea favorable, deberemos haber efectuado una adecuada Identificación del Riesgo, para posteriormente analizarlos y posteriormente valorarlos correctamente.

Si ha sido de tu agrado el artículo y te gustaría conocer mi opinión sobre este y otros contenidos en materia de Compliance, puedes leerlos en mi Blog de Compliance: Experts Compliance