ISO 37301:2021 - Evaluación de los riesgos

Fuente de la imagen: elaboración propia

Otro contrafuerte fundamental lo configura la evaluación periódica y, siempre que sea necesario, de los riesgos de compliance, constituyendo para la ISO 37301:2021 los cimientos para la implementación del sistema y la asignación de adecuados recursos y procesos para la gestión de los riesgos reconocidos. Para ello, deberá identificar, analizar y valorar esos riesgos mediante una correspondencia entre obligaciones, por un lado, y actividades y operaciones, por otro, incluyendo los procesos subcontratados y de tercera parte. Para la ISO, la evaluación de riesgos constituye la base para la implementación del sistema de gestión del compliance y la asignación adecuada de recursos y procesos para gestionar los riesgos identificados.

Entiende la norma que los riesgos se pueden determinar por la probabilidad de ocurrencia y por las consecuencias del no cumplimiento. El inventario de riesgos incluirá tanto los inherentes como los residuales. El riesgo inherente corresponde a aquellos peligros a los que afronta la entidad cuando está descontrolada y sin disponer de medidas que eliminen o atenúen esas situaciones de riesgos. El riesgo residual lo constituyen aquellas contingencias no vigiladas eficazmente de manera consciente y que, caso que se consoliden, la organización está dispuesta a asumirlas con el coste que acompañe y que, en todo caso, deberá ser conocido y previsto, dentro de su “apetito de riesgo”.

También, la norma nos advierte que toda identificación de riesgos debe venir acompañada del periódico y regular inventario de identificaciones de los orígenes o fuentes de esos riesgos junto a la definición de las situaciones de riesgo. Asimismo, estas identificaciones, al igual que vimos con las obligaciones, deben asociarse y registrarse a las funciones, divisiones, áreas, departamentos, procesos, actividades, tareas… correspondientes, para una adecuada, posterior y también periódica evaluación del riesgo, en el sentido de si este es aceptable o asumible en base al nivel riesgo establecido en la política de compliance.

En cuanto al alcance y profundidad o detalle de la evaluación de riesgos, estribará en función de la situación del riesgo, el contexto, el tamaño, la organización, la actividad, la situación geográfica y los objetivos de la entidad. Aclara la norma que el enfoque basado en el riesgo no implica que para situaciones de bajo riesgo, residual o despreciable, la entidad acepte “por la cara” los desajustes, disconformidades o no cumplimientos, todo lo contrario, puesto que la función es cubrir todos los riesgos, lo que pasa es que por economía y uso de recursos disponibles, nos centraremos en primer lugar en aquellos riesgos más importantes (riesgos inherentes), para pasar después al resto de peligros. Fuente de la información: a partir de las directrices de la ISO. Fuente de la imagen: elaboración propia.