Por: Javier Fernando Klus, MBA, CIA. Colaborador de Auditool

Con el fin de establecer un sistema de gestión de riesgos de LA/FT/FPADM se pueden establecer los siguientes pasos:

1. El primer aspecto fundamental, es identificar los riesgos relacionados con LA/FT/FPADM, para esto la empresa debe establecer una matriz de riesgos basada principalmente en: ¿Qué puede suceder en materia de LA/FT/FPADM?.

Un ejemplo de matriz de riesgo podría ser la siguiente:

2. Una vez identificado los riesgos que tengan que ver con esta temática, el segundo paso será la medición o evaluación de los riesgos de LA/FT/FPADM. Para esto utilizaremos los elementos generalmente definidos para cualquier análisis de riesgos, la probabilidad de ocurrencia es definido como la posibilidad de que las fuentes potenciales de riesgo lleguen a materializarse. El otro elemento es el impacto, definido como el nivel de pérdida o daño que podría resultar en el caso de materializarse el riesgo de LA/FT/FPADM. Estos dos elementos combinados nos darán la severidad del riesgo.

Esto lo podremos estar expresando a través de una escala que podrá ser, por ejemplo: No significativo, Menor, Medio y Mayor y a través de una ponderación que estará dada por la fórmula:

Riesgo Inherente (RI): Valor probabilidad * Valor Impacto

El resultante será una matriz como la siguiente:

3. Como tercer paso una vez realizada la ponderación nace la  necesidad de implementar controles que permitan precisamente mitigar (reducir) este riesgo inherente. Para ello tendremos distintos tipos de clasificación de controles, ellos son:

  1. Por su naturaleza
    Controles Preventivos
    Controles Detectivos
  2. Por su forma
    Controles Manuales
    Controles Automáticos
  3. Por estado de implementación
    Implementado
    En desarrollo
    Inexistente

4. Como último aspecto de este análisis de riesgo y evaluación de situación deberemos establecer el riesgo residual el cual surge de la siguiente fórmula:

Riesgo Residual (RR)= Nivel de Riesgo Inherente * Nivel de Calificación de Riesgos

El nivel de calificación del riesgo no es ni más, ni menos, que la calificación asignada al riesgo una vez implementado un marco de control. En síntesis, el concepto de riesgo residual sería el riesgo remanente que aún permanece una vez implementado un sistema de control.

A través de estos sencillos pasos podremos finalmente tener mapeados en una matriz los riesgos relacionados con LA/FT/FPADM, así como, los controles que direccionan a dichos riesgos y finalmente el riesgo residual existente, el cual, es el grado de exposición que dicha organización tendrá a esos riesgos una vez implementado un sistema de control interno. La organización con base en este nivel de riesgo residual definirá si ese nivel de riesgo es aceptable o debe implementar nuevos controles.

 

Javier Fernando Klus, MBA, CIA.

Javier Klus fue gerente de auditoría en PwC Argentina con más de 12 años de experiencia profesional trabajando en la evaluación de entornos de control interno para empresas líderes en la industria energética. Se ha especializado en la evaluación de riesgos y controles y en el diseño e implementación de controles para el ciclo de adquisiciones. También ha liderado compromisos importantes en las áreas de revisiones de sistemas de implementación previas y posteriores; diseño e implementación de políticas y procedimientos para el área financiera, evaluación de riesgos y control de ERP y proyectos de preparación de Sarbanes Oxley. Especialidades:   Auditoría de Sistemas y Procesos, Gestión de Proyectos, Auditoría Interna, Cumplimiento SARBOX. Colaborador de Auditool